WhatsApp: Schwere Sicherheitslücken bedrohen Gruppenchats
21.09.2025 - 21:41:02Eine schwerwiegende Zero-Day-Schwachstelle in WhatsApp ermöglicht komplette Geräteübernahmen ohne Nutzerinteraktion. Über zwei Milliarden Anwender sind von der aktiven Ausnutzung betroffen.
Zero-Day-Exploit ermöglicht komplette Geräte-Kompromittierung ohne Nutzerinteraktion. Über zwei Milliarden Anwender betroffen.
WhatsApp steht erneut im Fokus der Cybersicherheits-Experten. Eine kritische Zero-Day-Schwachstelle wird aktiv ausgenutzt und kann Apple-Geräte komplett kompromittieren – ohne dass Nutzer etwas davon bemerken. Besonders brisant: Die Attacken zielen gezielt auf Gruppenchats ab, wo sich Sicherheitslücken besonders verheerend auswirken.
Die US-Cybersicherheitsbehörde CISA stufte die Schwachstelle CVE-2025-55177 Anfang September als „Known Exploited Vulnerability“ ein. Das Signal ist klar: Diese Lücke wird bereits für Angriffe genutzt. Der Fehler liegt in der Geräte-Synchronisation von WhatsApp und ermöglicht Angreifern, schädliche Nachrichten zu versenden.
Besonders perfide: Kombiniert mit einer Betriebssystem-Schwachstelle können Kriminelle Geräte übernehmen, ohne dass das Opfer auch nur eine Nachricht öffnen muss. Meta bestätigte bereits gezielte Attacken auf ausgewählte Nutzergruppen.
Anzeige: Während WhatsApp erneut mit Zero-Day-Lücken Schlagzeilen macht: Denken Sie über eine datenschutzfreundlichere Alternative nach? Der kostenlose PDF-Leitfaden zeigt Schritt für Schritt, wie Sie sicher zu Telegram wechseln, geheime Chats nutzen und Ihre Nummer verbergen. Jetzt das Telegram-Startpaket gratis laden
Server-Kontrolle als Dauerproblem
Doch das Zero-Day-Problem ist nur die Spitze des Eisbergs. Seit 2018 warnen Forscher der Ruhr-Universität Bochum vor einem fundamentalen Architektur-Problem: WhatsApp-Server kontrollieren die Mitgliedschaft in Gruppenchats.
Die Konsequenz? Angreifer, die WhatsApp-Server kompromittieren, können heimlich neue Mitglieder zu privaten Gruppen hinzufügen. Diese erhalten automatisch alle Verschlüsselungsschlüssel für künftige Nachrichten. Zwar werden alle Gruppenmitglieder über den Neuzugang benachrichtigt – doch längst nicht jeder Administrator erkennt die unerlaubte Mitgliedschaft rechtzeitig.
WhatsApp verteidigt sich: Die Benachrichtigungen seien ausreichende Warnung. Sicherheitsexperten sehen das anders. „Die Gruppenverwaltung über zentrale Server untergräbt die Sicherheitsversprechen der End-zu-End-Verschlüsselung“, kritisieren Fachleute.
Manipulation und Malware im Gruppenchat
Die Angriffsvektoren sind vielfältig und real. Check Point demonstrierte bereits, wie Angreifer in Gruppen Nachrichten abfangen und manipulieren können. Dabei können sie Antworten verfälschen oder Absender-Identitäten in zitierten Nachrichten ändern – perfekt für Desinformationskampagnen.
Eine weitere Bedrohung: Schädliche Dateien. Eine erst kürzlich gepatchte Windows-Schwachstelle (CVE-2025-30401) ermöglichte es Angreifern, ausführbare Dateien als harmlose Bilder zu tarnen. Ein einziger Klick genügte, um Computer zu kapern. In Gruppenchats kann eine Datei dutzende Mitglieder gleichzeitig infizieren.
Ende-zu-Ende-Verschlüsselung ist kein Allheilmittel
Diese Angriffe offenbaren eine unbequeme Wahrheit: End-zu-End-Verschlüsselung schützt nur den Nachrichteninhalt, nicht das gesamte Ökosystem. Metadaten – wer mit wem, wann und wo kommuniziert – bleiben weiterhin sichtbar.
Noch kritischer: Ist das Endgerät kompromittiert, wird Verschlüsselung bedeutungslos. Der aktuelle Zero-Click-Exploit zeigt das dramatisch. Auch die zunehmende Geschäftsnutzung von Verbraucher-Apps wie WhatsApp erweitert die Angriffsfläche erheblich.
Anzeige: Für Android-Nutzer, die WhatsApp, Online-Banking oder PayPal am Handy nutzen: Viele übersehen genau diese 5 Schutzmaßnahmen. Der kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie Ihr Smartphone ohne teure Zusatz-Apps absichern – inklusive Checklisten für Updates, App-Prüfungen und wichtige Sperren. Jetzt das kostenlose Android-Sicherheitspaket anfordern
Wettrüsten ohne Ende
Meta reagiert mit Updates und empfiehlt sofortige App- und Betriebssystem-Aktualisierungen. Bei Betroffenen der CVE-2025-55177-Attacke rät das Unternehmen zu kompletten Geräte-Resets. Neue Sicherheitsfeatures sollen vor unerwünschten Gruppeneinladungen warnen.
Doch die Entdeckung weiterer schwerer Schwachstellen ist programmiert. WhatsApp bleibt primäres Ziel für Cyberkriminelle und staatlich geförderte Hackergruppen. Nutzer müssen mit einem endlosen Zyklus aus Bedrohungsentdeckung und Patches rechnen.
Die Verantwortung für Sicherheit teilen sich Plattform und ihre über zwei Milliarden Nutzer – ein Wettrüsten, das niemals enden wird.
