Informatikerinnen der Universität Wien und SBA Research haben eine gravierende Schwachstelle im Contact-Discovery-Mechanismus von WhatsApp entdeckt, die globale Nutzerinnen-Enumeration ermöglichte. Durch extrem hohe Abfrageraten konnten die Forschenden mehr als 3,5 Milliarden aktive WhatsApp-Konten weltweit identifizieren, inklusive Metadaten wie Telefonnummer, öffentlicher Schlüssel, Zeitstempel und – sofern freigegeben – Profilbild oder About-Text.
Die Lücke erlaubte Abfragen von über 100 Millionen Telefonnummern pro Stunde und betraf auch Länder, in denen WhatsApp offiziell verboten ist. Zudem zeigten die Analysen Einblicke in weltweite Nutzungsgewohnheiten, Geräteverteilung (81 % Android, 19 % iOS) sowie Hinweise auf vereinzelt wiederverwendete kryptografische Schlüssel.
WhatsApp hat die Schwachstelle nach verantwortungsvoller Meldung geschlossen und zusätzliche Schutzmaßnahmen wie strengeres Rate-Limiting eingezogen. Nachrichteninhalte waren durch Ende-zu-Ende-Verschlüsselung zu keinem Zeitpunkt betroffen. Die vollständige Studie wird 2026 auf dem NDSS Symposium vorgestellt.
