WhatsApp Schwachstelle bedroht Sicherheit: Forscher entdecken kritische Verschlüsselungslücke

Ein Forscherduo aus Wien stellte während der Konferenz Defcon Techniken vor, die Schutzmechanismen des WhatsApp-Messengers unter Druck setzen und sogar einzelne Konten zeitweise isolieren können. Die Präsentation machte klar: Die Lücke betrifft den Umgang mit kurzlebigen Schlüsseln und beleuchtet Folgen für Vertraulichkeit sowie Erreichbarkeit.

Technische Einordnung: Systeme mit Ende-zu-Ende-Schutz nutzen Vorwärtsgeheimnis (PFS). Statt eines dauerhaften Geheimnisses entsteht pro Mitteilung ein frisches Schlüsselpaar. Dadurch bleiben spätere Chats geschützt, selbst sofern ein Langzeit-Identitätsschlüssel einmal abfließt. Beim Meta-Dienst wirken mehrere Ebenen zusammen: ein permanentes Identitätsgeheimnis, ergänzend ein periodisch erneuerter Vorschlüssel und zusätzlich ein per-Nachricht-Satz. Zur Entschlüsselung sind sämtliche Komponenten erforderlich.

Der Materialaustausch erfolgt nicht ausschließlich unmittelbar zwischen Endgeräten. Damit Mitteilungen während Offline-Phasen zugestellt werden, hinterlegt die Plattform Platzhalter und liefert sie nach, sobald ein Telefon erneut verbunden ist. Die gezeigte Technik triggert massenhaft Abrufe für diese pro-Nachricht-Schlüssel. Irgendwann bedient die Gegenstelle die Nachfragen zu langsam; eine zusätzliche Schutzlage einzelner Mitteilungen entfällt dann. Zwei Ebenen bleiben jedoch erhalten, wodurch das Risiko für Inhalte begrenzt ist.

Dieselbe Flut an Schlüsselabrufen ermöglicht zudem gezielte Störungen. Überschreitet die Rate ungefähr zweitausend Requests je Sekunde, stellt die Infrastruktur weitere Bearbeitung für die betroffene Rufnummer ein. Der Kommunikationsfluss kommt zum Stillstand. Das entspricht einem Denial-of-Service auf Kontoebene – ärgerlich, aber ohne direkten Erkenntnisgewinn. Eine serverseitige Drosselung (Rate Limiting) dürfte den Effekt beenden.

Auch der Datenschutz bleibt betroffen. Durch fortlaufendes Abfragen wird erkennbar, ob ein Zielgerät gerade erreichbar ist. Über längere Zeiträume werden Muster sichtbar: Firmenzugang oder Privatprofil? Wann wirkt jemand eher im Büro oder daheim? Antwortlatenzen geben Hinweise auf Gerätemodelle. Aus laufenden Schlüsseln ergeben sich Nutzungsspannen und Aktivitätsschätzungen. Solche Metadaten taugen für präzise Überwachung, nicht für Massenangriffe.

Die Autoren meldeten das Thema am Datum 28.03.2025 bei Meta. Nach ihrer Darstellung wurde das Supportticket geschlossen; offenbar erfolgte eine falsche Zuordnung. Öffentliche Aufmerksamkeit könnte nun Reaktionen beschleunigen.

Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!