3,5 Milliarden User: Gesamtes WhatsApp-Verzeichnis abgeschnorchelt

Inhaltsverzeichnis

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Das gesamte Mitgliederverzeichnis von WhatsApp stand online ungeschützt zum Abruf bereit. Österreichische Forscher konnten sich deshalb alle Telefonnummern und weitere Profildaten – darunter öffentliche Schlüssel – herunterladen, ohne auf ein Hindernis zu stoßen. Sie fanden mehr als 3,5 Milliarden Konten. Gemessen an der Zahl Betroffener ist es der wohl größte Datenabfluss aller Zeiten. Ein Teil der Forschungsgruppe hat sich bereits mehrfach mit WhatsApp befasst und beispielsweise eruiert, was WhatsApp trotz Verschlüsselung verrät, und herausgefunden, wie ein Angreifer die Whatsapp-Verschlüsselung herabstufen kann. Dennoch stellte sich Whatsapp-Betreiber Meta Platforms hinsichtlich der neuen Forschungsergebnisse ein Jahr lang taub.

Wiederholte Warnhinweise, die die Gruppe der Universität Wien und der österreichischen SBA Research ab September 2024 bei Whatsapp eingereicht haben, wurden zwar mit Empfangsbestätigungen bedacht, bald aber zu den Akten gelegt. Erst als die Forscher zweimal einen Entwurf ihres Papers einreichten und dessen unkoordinierte Veröffentlichung bevorstand, wachte Meta auf: Aus den Daten lässt sich nämlich erstaunlich viel ablesen, und für manche User kann das lebensbedrohlich sein.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

YouTube-Video immer laden YouTube-Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Da sind einmal Informationen, die für Meta Platforms selbst sensibel sind, aus wettbewerblichen und regulatorischen Gründen: Wie viele Whatsapp-User gibt es in welchem Land, wie verteilen sie sich auf Android und iOS, wie viele sind Geschäftskonten, wie groß ist der Churn (Kundenabwanderung), und wo gibt es offensichtliche Betrugszentren großen Maßstabs. Und dann sind da mehrere Klassen von Daten, die für Anwender ungemütlich bis lebensgefährlich sein können – obwohl die Forscher keine Datenpakete an oder von Endgeräten übertragen haben (sondern nur zu Whatsapp-Servern) und auch keine Inhalte oder Metadaten von Whatsapp-Kommunikation abgefangen haben.

WhatsApp-Verbot unwirksam

So war WhatsApp Stand Dezember 2024 in der Volksrepublik China, im Iran, in Myanmar sowie in Nordkorea verboten. Dennoch fanden die Forscher damals 2,3 Millionen aktive WhatsApp-Konten in China, 60 Millionen im Iran, 1,6 Millionen in Myanmar und fünf (5) in Nordkorea. Diese Handvoll könnte vom Staatsapparat selbst eingerichtet worden sein, aber für Einwohner Chinas und Myanmars ist es höchst riskant, wenn Behörden von der illegalen WhatsApp-Nutzung Wind bekommen. Und das passiert leicht, wenn sich der gesamte Nummernraum flott abfragen lässt.

Die 60 Millionen WhatsApp-Konten mit iranischer Telefonnummer entsprachen statistisch immerhin zwei Drittel der Einwohner. Das Verbot wirkte dort also offensichtlich nicht und wurde am Heiligen Abend 2024 auch aufgehoben. Drei Monate später gab es dann schon 67 Millionen iranische Konten. Deutlich stärker hat die Zahl jener zugenommen, die dasselbe WhatsApp-Konto auf mehr als einem Gerät nutzen. Während der Verbotsphase war das offenbar zu riskant, aber wenn WhatsApp nicht illegal ist, will man es vielleicht auch am Arbeitsrechner verwenden.

Profilbilder und Info-Feld

Annähernd 30 Prozent der User haben etwas in das "Info"-Feld ihres Profils eingetragen, und dabei geben manche viel preis: politische Einstellungen, sexuelle oder religiöse Orientierung, Bekenntnisse zu Drogenmissbrauch gibt es dort genauso wie Drogendealer, die genau in diesem Feld ihr Warensortiment anpreisen. Auch darüber hinaus fanden die Wiener Forscher Angaben zum Arbeitsplatz des Users bis zu Hyperlinks auf Profile in sozialen Netzwerken, bei Tinder oder OnlyFans. E-Mail-Adressen durften natürlich nicht fehlen, darunter von Domains wie bund.de, state.gov und diverse aus der .mil-Zone. Das ist ein gefundenes Fressen für Doxxer und andere Angreifer, aber auch Spammer und einfache Betrüger.

Zudem verriet WhatsApp den Zeitpunkt der jüngsten Änderung – nicht nur des Info-Feldes, sondern auch der Profilfotos, die immerhin 57 Prozent aller WhatsApp-User weltweit hochgeladen und als für jedermann einsehbar definiert haben, darunter US-Regierungsmitglieder. Für den Nordamerika-Vorwahlbereich +1 haben die Forscher alle 77 Millionen für jedermann einsehbaren Profilbilder heruntergeladen – stolze 3,8 Terabyte in Summe. In einer daraus gezogenen zufälligen Stichprobe von einer halben Million Bildern fand eine Gesichtserkennungsroutine in zwei Dritteln der Fälle ein menschliches Gesicht. Die leichte Zugänglichkeit der Fotos hätte also erlaubt, eine Datenbank zusammenzustellen, die durch Gesichtserkennung in vielen Fällen zur Telefonnummer führt und umgekehrt. Selbst Profilbilder ohne Gesicht können geschwätzig sein: bisweilen sind Autokennzeichen, Straßenschilder oder Wahrzeichen abgebildet.

Weitere Informationen liefert die Anzeige, wie viele Geräte unter einem WhatsApp-Konto registriert sind (bis zu fünf). Aus den fortlaufend vergebenen IDs lässt sich schließen, ob diese zusätzlich genutzten Geräte häufig geändert werden oder stabil bleiben.

Schlüssel-Kollisionen

Die Forschergruppe hat auch die öffentlichen Schlüssel aller WhatsApp-Konten untersucht. Vorweg die gute Nachricht: Im gesamten Datenberg gab es nur zwei ungültige Signaturen. Doch leider gab es 2,3 Millionen Schlüssel, die auf mehreren Geräten auftauchten. Das sollte eigentlich nicht sein, weil dann Dritte WhatsApp-Inhalte entschlüsseln oder eine fremde Identität übernehmen können.

Der Großteil der Schlüssel-Kopien (aber nicht alle) lässt sich durch die mangelnde Neuvergabe eines Profilschlüssels bei der Änderung der Telefonnummer zurückführen. Das ist kein Problem der IT-Sicherheit im engeren Sinne, aber ein Datenschutzproblem, weil sich so trotz Rufnummernwechsels die neue Telefonnummer einer Zielperson eruieren ließe. Das unterläuft unter Umständen den Zweck des Nummernwechsels. Daher gilt: Wer wegen Gefährdung durch ein unterdrückerisches Regime, organisierte Verbrecher oder einen einschlägig erfahrenen Intimpartner seine Nummer ändert, sollte auch das WhatsApp-Konto wegschmeißen und, sofern notwendig, ein neues eröffnen.

Zusätzlich sollte auch das Endgerät gewechselt werden: Die Wiener Wissenschaftler haben festgestellt, dass WhatsApp manchmal Schlüssel wiederverwendet, wenn man sich auf einem Handy aus WhatsApp ausloggt und dann auf demselben Gerät unter einer neuen Rufnummer ein neues WhatsApp-Konto eröffnet. Das ist ein Sicherheitsfehler, dem Meta inzwischen zu begegnen sucht.

Diese drei Schlüssel braucht Whatsapp

Bei asynchroner Kommunikation, wie sie für Whatsapp typisch ist, sind die Teilnehmer nicht unbedingt gleichzeitig online; in so einem Fall schlägt das direkte Aushandeln eines Schlüsselpaars für verschlüsselte Kommunikation fehl. Das Signal-Protokoll, das in einer Variante auch Grundlage Whatsapps ist, löst dieses Problem durch vorausschauenden Upload öffentlicher Einmalschlüssel auf den Server. Dort stehen sie zum Abruf durch Dritte bereit.

Im Ergebnis werden Nachrichten dreifach Ende-zu-Ende verschlüsselt: mit dem statischen Identitätsschlüsselpaar, dem zirka monatlich ausgetauschten, signierten Vorschlüsselpaar (Prekey), das jeweils für genau eine Unterhaltungskombination zwischen zwei oder mehr Teilnehmern gilt, und mit dem nur für eine einzelne Nachricht gültigen Schlüsselpaar (zwecks Perfect Forward Secrecy, PFS). PFS soll verhindern, dass mit einem aufgedeckten Schlüssel auch andere Nachrichten entschlüsselt werden können. Nur wer alle drei Schlüssel knackt, kann eine abgefangene Nachricht entschlüsseln.

Hinweise auf Betrugszentren

Ein Teil der aufgedeckten Schlüsselwiederverwendung lässt sich allerdings nicht durch Rufnummernwechsel erklären – speziell dann, wenn zusätzlich zum Profilschlüssel auch die beiden anderen Schlüssel wiederverwendet werden. Einmalschlüssel für einzelne Nachrichten sollen ja nur genau einmal genutzt werden. Hier berichten die Forscher von Häufungen in Myanmar und Nigeria. Es gibt sogar Konten, bei denen alle drei Schlüssel gleich sind und alle drei wiederverwendet werden.

Theoretisch wäre das durch den Einsatz eines schlecht gemachten alternativen WhatsApp-Clients, der eben in bestimmten Weltteilen beliebt ist, erklärbar. Wahrscheinlicher ist, dass es ein Anzeichen für arbeitsteiligen Betrug ist, wie er häufig über WhatsApp erfolgt, etwa durch angeblichen Reichtum mit Kryptowährungswetten oder durch Vorspiegelung großer Liebe. Sind die WhatsApp-Schlüssel absichtlich gleich, können sich mehrere Täter dieselbe WhatsApp-Identität teilen und so effizienter, rund um die Uhr, ein Opfer bearbeiten, ohne bei diesem durch wechselnde Rufnummern Verdacht zu erregen. Umgekehrt könnten die Täter mit demselben Endgerät neue Rufnummern nutzen, um Sperrlisten zu umgehen.

Kurios ist eine zweistellige Zahl an Whatsapp-Konten, bei denen nicht nur alle drei Schlüssel identisch waren und wiederverwendet wurden, sondern wo die Forscher den privaten Schlüssel herausfinden konnten: Er bestand nur aus Nullen. Der Grund ist nicht geklärt, womöglich ist der Zufallszahlengenerator des von diesen Usern genutzten WhatsApp-Clients kaputt, ob absichtlich oder nicht.

Übrigens ließe sich aus der fortlaufenden Kennung der Einmalschlüssel auch auf das Alter des Endgeräts und/oder die Intensität der Whatsapp-Nutzung rückschließen. Dadurch können Meta und Angreifer besonders populäre Konten ausmachen.

So gelang die Abfrage

Das ausgewertete Teilnehmerverzeichnis von WhatsApp muss grundsätzlich für WhatsApp-Nutzer offenstehen. Sie müssen ja wissen, wen sie über die App erreichen können. In der Regel erfolgt das über den Abgleich des Smartphone-Adressbuchs. Das erfordert aber nicht, dass sich jeder unbegrenzt am Nutzerverzeichnis bedienen können muss – doch genau das war der Fall.

Wie Gabriel Gegenhuber (Universität Wien), Philipp Frenzel (SBA Research), Maximilian Günther, Johanna Ullrich und Aljosha Judmayer (alle Uni Wien) herausgefunden haben, erlaubte Meta den Abgleich von 7.000 Telefonnummern pro Sekunde und Instanz mittels XMP-Protokoll, samt Download der jeweiligen Geräteliste. Profildaten und Schlüsseldownloads waren mit 3.000 beziehungsweise 2.000 pro Sekunde etwas langsamer. Dafür standen die Profilfotos auf einem HTTP-Server, der im Rahmen des Projekts sekündlich 5.500 Bilder in hoher Auflösung lieferte.

Die Forscher legten Wert darauf, ihre Anfragen nicht zu verschleiern. Sie nutzten für ihre Abfragen dieselbe statische IP-Adresse, die über die Abuse-Kontaktdaten als der Uni Wien zugehörig erkennbar und deren Administrator erreichbar war. Kontaktversuche zu WhatsApp-Clients oder das Abfangen von Nachrichten gehörten nicht zum Verfahren. Die XMP-Abfragen liefen grundsätzlich mit höchstens fünf parallelen Threads und 50.000 Datensätzen pro Abfrage, um die Infrastruktur nicht zu überlasten.

Genutzt haben die Forscher dafür die Software whatsmeow. Das ist eine unabhängige Open-Source-Implementierung WhatsApps. Die Parameter der Serverschnittstellen (API) sind für whatsmeow reverse engineered worden.

Beim Fotodownload hingegen setzten die Wiener 1.000 parallele Threads ein, für einen kurzfristigen Versuch sogar 10.000. Abwehrreaktionen der Meta-Server oder Abuse-Beschwerden blieben aus. Der Datenkonzern verzichtete offenbar auf Monitoring. Die gesammelten Fotos und Telefonnummern haben die Wissenschaftler nach Abschluss der Auswertung gelöscht.

Österreich hat 500 Milliarden mögliche Handynummern

Eine Herausforderung war die Definition des abzugrasenden Nummernraums. Die Anzahl möglicher Handyrufnummern ist enorm. Nicht nur sind die Nummerngassen in jedem Land anders gestaltet, auch die Länge der Rufnummer kann innerhalb eines Landes variieren. Beispiel Österreich: Auf die "Vorwahl" folgt die Teilnehmerkennung, die sieben bis 13 Stellen lang sein kann. Nicht selten hat ein Anschluss mehr als eine Rufnummer.

Daraus ergeben sich alleine für Österreich mehr als 511 Milliarden mögliche Handynummern. In Indonesien sind es immerhin 89 Milliarden. Google pflegt mit libphonenumber eine öffentliche Library für Formatierung und Validierung internationaler Telefonnummern. Darin enthalten waren zum Zeitpunkt der Abfragen gut 646 Milliarden Rufnummern – der Großteil davon aus Österreich. Das abzugrasen hätte rund ein Jahr lang gedauert.

Als gelernte Österreicher wussten die Forscher allerdings, bestimmte Nummernblöcke auszuklammern, weil sie in der Praxis nicht oder kaum genutzt werden. Umgekehrt gab es laut libphonenumber überraschend wenige Nummernmöglichkeiten in Mexiko und Brasilien. Dort stellte sich heraus, dass das Nummernsystem kürzlich reformiert worden war; Nummern nach dem alten Schema wurden aus libphonenumber entfernt, obwohl sie weiterhin in Umlauf und gültig sind.

Nach entsprechenden Adaptierungen definierte die Gruppe schließlich einen Raum aus gut 63 Milliarden Telefonnummern. Darin fanden sie 3.546.479.731 WhatsApp-Konten aus 245 Ländern und Territorien. Die wirkliche Zahl könnte noch ein klein wenig höher sein, da womöglich nicht in allen Vorwahlbereichen alle möglichen Nummerngassen erwischt wurden. Zudem blieben Satellitenhandy-Vorwahlen (zum Beispiel +870, +881) und spezielle Vorwahlbereiche wie +800 außen vor. Würden Netzbetreiber ihre Nummernblöcke umfassender nutzen und per Zufallsgenerator Telefonnummern zuteilen, wäre das Abgrasen der Nummernräume schwieriger, für Forscher wie für Spammer.

Statistikschmankerl

Die meisten WhatsApp-Nutzer gibt es, wenig überraschend, in Indien, nämlich rund 749 Millionen. Damit kommen auf 100 Inder gut 51 WhatsApp-Konten. Über 200 Millionen Konten gibt es in Indonesien und Brasilien, mehr als 100 Millionen jeweils in den USA, Russland und Mexiko. Auf 100 Einwohner umgelegt bedeutet dies in Mexiko und Brasilien 99, in Russland 91, in den USA aber nur 40 Konten.

In 32 Gebieten gibt es mehr als 100 Konten je 100 Einwohner, allen voran Monaco mit 480. Es überwiegen Länder im Nahen Osten sowie geographisch kleine Gebiete wie Hongkong, Sint Maarten, Singapur, Luxemburg oder die Turks and Caicos Inseln, aber auch Chile, Malaysia und die Niederlande weisen mehr als 100 Prozent Penetration auf. In der DACH-Region entfallen auf Deutschland 74,6 Millionen WhatsApp-Konten (88 je 100 Einwohner), auf Österreich 7,9 Millionen (86), auf die Schweiz 8,4 Millionen (95) und auf Liechtenstein 16.760 (43).

Unter fünf Prozent liegt die Marktdurchdringung WhatsApps demnach in Eritrea, Tokelau, Japan, Südkorea, Äthiopien, Madagaskar, Niue, Tuvalu und Vietnam, sowie in drei Ländern, die den Messenger komplett verbieten (Nordkorea, China, Myanmar). In Japan, Südkorea und Vietnam dominieren lokale Messaging-Apps den Markt. Regional starke Mitbewerber erklären die relative Schwäche Whatsapps in mehreren Ländern. Beispielsweise kommt das Meta-Angebot in Griechenland "nur" auf 37 Prozent, weil Viber dort der Platzhirsch ist.

Viele Businesskonten in Afrika

In keinem Land haben die Forscher im Zeitraum Dezember 2024 bis März 2025 rückläufige Nutzerzahlen festgestellt. Die Kündigungsraten (Churn) haben sie für Belgien, Indien, den Iran und die USA erhoben. Die Unterschiede sind deutlich. In Belgien verschwand monatlich weniger als ein Prozent aller WhatsApp-Konten, in den USA waren es hingegen 3,6 bis 4,3 Prozent, der Iran und Indien lagen dazwischen.

Deutliche Differenzen gibt es bei der Nutzung der Profilbild-Funktion. In Afrika ist sie enorm beliebt, dort stellen meist zwei Drittel bis vier Fünftel ein Bild ein. In der DACH-Region führt Österreich mit 60 Prozent vor der Schweiz mit 58, Liechtenstein mit 55 und Deutschland mit 51 Prozent.

In manchen Ländern gibt es erstaunlich viele Business-Konten: In Sierra Leone und Burundi fällt mehr als ein Drittel aller WhatsApp-Konten in diese Kategorie. Generell ist ihr Anteil in Afrika hoch, aber auch in Haiti, den Vereinigten Arabischen Emiraten, Pakistan, Afghanistan und Katar sind es über 20 Prozent.

Das dürfte gesellschaftlichen Gepflogenheiten geschuldet sein, denn Meta kontrolliert in keiner Weise, ob ein Konto tatsächlich unternehmerisch genutzt wird. Man muss nur die Business-Version der App installieren. In Deutschland und Österreich haben das zwei Prozent der Nutzer getan, in der Schweiz und Liechtenstein drei Prozent. Im globalen Schnitt sind es neun Prozent.

Android v iOS

Da die WhatsApp-Anwendung in Android und iOS unterschiedlich implementiert ist, konnten die Österreicher auch Erkenntnisse über die Marktanteile dieser Betriebssysteme unter WhatsApp-Nutzern gewinnen. Tendenziell lässt sich aus den heise online vorliegenden Daten erkennen, dass der Android-Marktanteil in ärmeren Ländern deutlich höher ist. Nur in etwa der Hälfte der erfassten Länder schafft Apples iOS es über 20 Prozent. Weltweit entfallen 81 Prozent der WhatsApp-Konten auf Android.

Nimmt man jene Gebiete, in denen Whatsapp mindestens fünf Prozent Marktanteil und wenigstens eine Million Nutzer hat, ergeben sich zehn, in denen iOS auf 51 Prozent oder mehr kommt: Die USA, Dänemark und Australien führen mit je zwei Drittel iPhones; es folgen Kanada, Norwegen, Schweden, Taiwan, Großbritannien, die Schweiz und Neuseeland.

Die Waage halten sich Android und iOS in Luxemburg, der Mongolei und Hongkong. In den beiden größten Märkten, Indien und Indonesien, dominiert Android mit deutlich über 90 Prozent. Das gilt auch für Indiens Nachbarn Bangladesch und Pakistan. In Deutschland und Österreich sind 58 respektive 59 Prozent Android, in der Schweiz und Liechtenstein hingegen nur 43 beziehungsweise 41 Prozent.

Empfehlungen

Die Forschergruppe hat ihre Erkenntnisse am Dienstag unter dem Titel "Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy" veröffentlicht. Das Paper ist auf der Fachkonferenz NDSS 2026 (Network and Distributed System Security) angenommen worden. Ratschläge für datenschutzbewusste WhatsApp-Nutzer enthält es nur einen: Sie sollten ihr Profilfoto und Info-Feld überdenken. Durch den Digital Markets Act der EU könnte es im Europäischen Wirtschaftsraum möglich werden, alternative Messenger-Systeme mit WhatsApp zu vernetzen, ohne WhatsApp-Server direkt nutzen zu müssen.

Für Meta haben sie mehr Empfehlungen: Begrenzung der Serverabfragen (rate limiting), Verschlüsselung von Profilfoto und Info-Feld, damit nur bestätige Kontakte Einblick erhalten, und eine einheitliche Codebasis für verschiedene Betriebssysteme, um Angreifern weniger Side-Channel-Informationen zu liefern. Wieder einmal geht Signal hier voran und verschlüsselt Profilangaben seit Jahren.

So reagiert Meta Platforms

Ein Update der Android-App vom Oktober soll verhindern, dass bei Neuanlegung eines WhatsApp-Kontos Schlüssel eines anderen, früher auf dem Gerät genutzten Kontos wiederverwendet werden. Zudem verraten WhatsApps Server inzwischen für Profilbilder keine Zeitstempel mehr. Auch gibt es inzwischen eine Beschränkung der Zahl der Abfragen von Profilbildern und Info-Feldern, ausgenommen die Abfrage von Business-Profilen.

Dem massenhaften Abgleich von Telefonnummern versucht Meta seit kurzem durch den Einsatz von Machine Learning sowie ein lebenslanges Limit der maximalen durch ein WhatsApp-Konto getätigten Abfragen zu begegnen. Das soll Scraper hinhalten, normale Nutzer aber nicht einschränken.

CVE-Nummern gibt es für die aufgedeckten Probleme nicht, da Meta diese für Serverprobleme grundsätzlich nicht beantragt. Die fehlerhafte Wiederverwendung von Schlüsseln bei Neuanlage eines Kontos auf einem bereits früher für WhatsApp genutzten Gerät hält der Datenkonzern für nicht schwerwiegend genug.

(ds)