{"id":586597,"date":"2025-11-19T09:18:10","date_gmt":"2025-11-19T09:18:10","guid":{"rendered":"https:\/\/www.europesays.com\/de\/586597\/"},"modified":"2025-11-19T09:18:10","modified_gmt":"2025-11-19T09:18:10","slug":"exploit-whatsapp-liess-den-abruf-von-35-mrd-telefonnummern-zu","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/586597\/","title":{"rendered":"Exploit: WhatsApp lie\u00df den Abruf von 3,5 Mrd. Telefonnummern zu"},"content":{"rendered":"<p class=\"text-p text-width\">Forschende der Universit\u00e4t Wien haben eine Sicherheitsl\u00fccke im Messenger WhatsApp <a href=\"https:\/\/www.univie.ac.at\/en\/news\/detail\/forscherinnen-entdecken-grosse-sicherheitsluecke-in-whatsapp\" target=\"_blank\" class=\"external-link\" rel=\"noopener\">publik gemacht<\/a>, die es erlaubte, alle 3,5\u00a0Milliarden gespeicherten Telefonnummern abzurufen. Schutzmechanismen sollen das eigentlich verhindern. Meta hat sich f\u00fcr den Hinweis bedankt und betont, dass private Nachrichten nicht betroffen waren.<\/p>\n<p>\t\t\t\tImmer wieder dasselbe Problem<\/p>\n<p class=\"text-p text-width\">Die Basis f\u00fcr die jetzt im Rahmen des Bug-Bounty-Programms an Meta gemeldete Sicherheitsl\u00fccke ist eine alte Bekannte: Um es Nutzern so einfach wie m\u00f6glich zu machen, andere Nutzer beziehungsweise Kontakte, die ebenfalls WhatsApp nutzen, zu finden, bietet die Plattform APIs an, um registrierte Telefonnummern abzugleichen und korrespondierende Informationen wie das Profilbild oder auch den About-Text (falls vom Nutzer freigegeben) einzusehen (\u201eWhatsApp Contact Discovery\u201c). Diese Schnittstellen dazu auszunutzen, um im gro\u00dfen Stil registrierte Nummern und Profilbilder abzurufen, soll eigentlich unterbunden werden.<\/p>\n<blockquote lang=\"en\" class=\"text-width blockquote\">\n<p class=\"text-p text-width\">WhatsApp&#8217;s contact discovery mechanism can use a user&#8217;s address book to find other WhatsApp users by their phone number. Using the same underlying mechanism, the researchers demonstrated that it was possible to query more than 100 million phone numbers per hour through WhatsApp&#8217;s infrastructure, confirming more than 3.5 billion active accounts across 245 countries.<\/p>\n<\/blockquote>\n<p>Data Mining erlaubt weitere Auswertungen<\/p>\n<p class=\"text-p text-width\">Den Forschenden der Universit\u00e4t Wien ist das jetzt trotzdem gelungen und sie haben auf Basis der abgerufenen Informationen zu 3,5\u00a0Milliarden registrierten Nutzern auch gleich noch ein paar Auswertungen gefahren, denn aus den Informationen lie\u00dfen sich auch weitere Erkenntnisse wie das verwendete Betriebssystem, das Account-Alter oder die Anzahl der mit dem Account verbundenen Ger\u00e4te ableiten. Die ergaben, dass<\/p>\n<ul class=\"text-ul text-width\">\n<li>es Millionen aktive Konten in L\u00e4ndern gibt, in denen WhatsApp eigentlich verboten ist (darunter China, Iran, Myanmar),<\/li>\n<li>19\u00a0Prozent iOS und 81\u00a0Prozent Android nutzen,<\/li>\n<li>es landesspezifische Unterschiede gibt, wie viele und welche Informationen Nutzer \u00fcber das Profilbild teilen,<\/li>\n<li>rund die H\u00e4lfte der im Jahr 2021 geleakten 500\u00a0Millionen Telefonnummern weiterhin im Einsatz sind.<\/li>\n<\/ul>\n<p>Meta bedankt sich<\/p>\n<p class=\"text-p text-width\">Meta hat sich f\u00fcr den Hinweis auf die Sicherheitsl\u00fccke bedankt, der die Arbeiten am \u201eindustrieweit f\u00fchrenden Anti-Scraping-System\u201c entscheidend voranbringt. Meta sei nicht bekannt, dass die L\u00fccke bereits au\u00dferhalb der Forschungsarbeit Verwendung fand, die Universit\u00e4t Wien h\u00e4tte die Daten inzwischen gel\u00f6scht.<\/p>\n<blockquote lang=\"en\" class=\"text-width blockquote\">\n<p class=\"text-p text-width\">We are grateful to the University of Vienna researchers for their responsible partnership and diligence under our Bug Bounty program. This collaboration successfully identified a novel enumeration technique that surpassed our intended limits, allowing the researchers to scrape basic publicly available information. We had already been working on industry-leading anti-scraping systems, and this study was instrumental in stress-testing and confirming the immediate efficacy of these new defenses. Importantly, the researchers have securely deleted the data collected as part of the study, and we have found no evidence of malicious actors abusing this vector. As a reminder, user messages remained private and secure thanks to WhatsApp\u2019s default end-to-end encryption, and no non-public data was accessible to the researchers.<\/p>\n<p>Das Statement von Meta\n<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"Forschende der Universit\u00e4t Wien haben eine Sicherheitsl\u00fccke im Messenger WhatsApp publik gemacht, die es erlaubte, alle 3,5\u00a0Milliarden gespeicherten&hellip;\n","protected":false},"author":2,"featured_media":586598,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[134],"tags":[175,170,169,29,30,171,174,173,172],"class_list":{"0":"post-586597","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-unternehmen-maerkte","8":"tag-business","9":"tag-companies","10":"tag-companies-markets","11":"tag-deutschland","12":"tag-germany","13":"tag-markets","14":"tag-maerkte","15":"tag-unternehmen","16":"tag-unternehmen-maerkte"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/115575619981708634","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/586597","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=586597"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/586597\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/586598"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=586597"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=586597"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=586597"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}