WhatsApp-Angriff: Zero-Click-Exploit gefährdet Millionen iOS-Nutzer

Die Attacke erfordert keinerlei Benutzerinteraktion – und hinterlässt keine sichtbaren Spuren.

Forensische Untersuchungen aus dem späten Mai 2026 zeigen: Die Kampagne zielt primär auf Nutzer von iOS 16 ab, konkret auf Geräte vom iPhone 8 bis zum iPhone 14. Anders als bei klassischen Phishing-Methoden, bei denen ein Nutzer auf einen Link klicken oder einen Code preisgeben muss, läuft dieser Exploit vollständig im Hintergrund ab. Herkömmliche Sicherheitsmaßnahmen haben kaum eine Chance.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheitslücken schließen und Bedrohungen abwenden

Die Mechanik der Angriffskette

Der Angriff nutzt eine komplexe Abfolge von Sicherheitslücken, die die Standard-Sicherheitsarchitektur sowohl von iOS als auch von WhatsApp umgehen. Die Sicherheitsfirma Forenser identifizierte am 25. Mai 2026 zwei zentrale Schwachstellen: CVE-2025-43300 und CVE-2025-55177.

Die erste Lücke steckt in Apples ImageIO-Framework – ein sogenannter Out-of-Bounds-Write-Fehler. Die zweite Schwachstelle ist ein Synchronisationsfehler innerhalb der WhatsApp-Anwendung selbst. Sie betrifft die Art und Weise, wie die Software Daten zwischen verknüpften Geräten auf iOS-Versionen unter 16.7.12 verarbeitet.

Der Einbruch beginnt mit einer präparierten Synchronisationsnachricht, die eine schadhafte Bilddatei enthält. Wenn das ImageIO-Framework dieses Bild verarbeitet, kommt es zu einer Speicherkorruption. Diese Instabilität ermöglicht es dem Angreifer, Code auszuführen, der kryptografisches Sitzungsmaterial direkt aus dem Gerätespeicher extrahiert. Mit diesen Sitzungsschlüsseln kann der Angreifer eine parallele Sitzung auf einem fremden Client aufbauen.

Besonders tückisch: Die gekaperten Sitzungen tauchen nicht in der Liste der verknüpften Geräte in WhatsApp auf. Forensiker entdeckten die Angriffe nur durch die Suche nach sogenannten „Resync"-Ereignissen in den Systemprotokollen – ein Hinweis auf den Konkurrenzkampf zwischen der legitimen und der unbefugten Sitzung.

Reale Schäden: Finanzbetrug in Italien

Der Angriff hat bereits handfeste finanzielle Verluste verursacht. Zwischen dem 25. und 27. Mai 2026 beobachteten Opfer in Italien, wie ihre Konten eigenmächtig Nachrichten an ihre Kontaktlisten versendeten. Die Nachrichten tarnten sich als dringende Geldüberweisungsgesuche und nutzten das Vertrauensverhältnis zwischen Kontoinhaber und Familie oder Kollegen aus.

Weil die Übernahme unbemerkt blieb, erfuhren viele Opfer erst durch Rückfragen von Freunden von dem Kompromittierung. Die Angreifer setzten auf maximale Geschwindigkeit: Sie nutzten die parallele Sitzung, um massenhaft Betrugsnachrichten zu versenden, bevor der legitime Nutzer Leistungseinbußen oder Synchronisationsfehler bemerken konnte.

Sofortige Schutzmaßnahmen

Sicherheitsexperten empfehlen allen iOS-16-Nutzern, sofort auf Version 16.7.12 oder höher zu aktualisieren. Auch WhatsApp sollte auf Version 2.25.21.73 oder neuer gebracht werden. Wer einen Befall vermutet, sollte die App komplett neu installieren und die Funktion „Chat-Sperre" aktivieren, um bestehende Sitzungstoken zu löschen und einzelne Unterhaltungen zu schützen.

CEO-Fraud und manipulierte Nachrichten nutzen gezielt das Vertrauen Ihrer Mitarbeiter aus. Dieser kostenlose Report zeigt, welche psychologischen Tricks Hacker in Unternehmen einsetzen und wie Sie sich wirksam schützen. Anti-Phishing-Paket für Unternehmen kostenlos herunterladen

Datenleak verschärft die Lage

Die Entdeckung des Zero-Click-Exploits fällt in eine Phase erhöhter Bedrohungen für die WhatsApp-Plattform. Am 26. Mai 2026 kursierte ein 3 Terabyte großer Datensatz mit WhatsApp-Nutzerinformationen in einem bekannten Cybercrime-Forum. Analysten von Cybernews bestätigten, dass die Daten regional organisiert sind – darunter rund 10 Millionen russische und 4 Millionen israelische Telefonnummern.

Der Hacker hinter dem Leak gab zwar an, sich aus der Cyberkriminalität zurückzuziehen. Dennoch stellt die Verfügbarkeit dieser persönlichen Daten ein erhebliches Risiko für groß angelegte Social-Engineering-Kampagnen dar. Branchenexperten gehen davon aus, dass die Daten aus sekundären Quellen stammen – etwa Phishing-Operationen oder Infostealer-Malware – und nicht aus einem direkten Einbruch in WhatsApps zentrale Infrastruktur.

Unverschlüsselte Chat-Verläufe auf macOS und iOS

Forscher von Mysk berichteten am 25. Mai 2026 von einem weiteren Problem: WhatsApp-Chat-Verläufe auf macOS und iOS werden in unverschlüsselten Klartextformaten innerhalb gemeinsamer App-Gruppencontainer gespeichert. Der Container „group.com.facebook.family" wird auch von anderen Meta-Anwendungen wie Facebook und Instagram genutzt.

Diese Architektur bedeutet: Eine Sicherheitslücke in einer App könnte theoretisch den Zugriff auf sensible Daten einer anderen App ermöglichen. Die Schwachstelle CVE-2026-28910 – ein macOS-Sandbox-Bypass – wurde als konkretes Risiko identifiziert.

Die Entwicklung mobiler Bedrohungen

Die Verschiebung hin zu Zero-Click-Exploits und verschlüsselten Phishing-Kanälen markiert eine signifikante Entwicklung in der Bedrohungslandschaft. Während der WhatsApp-Angriff auf iOS 16 Speicherkorruption nutzt, umgehen andere Angreifer traditionelle Netzwerksicherheit auf völlig neue Weise.

Ein Bericht der Google Threat Intelligence Group vom 26. Mai 2026 zeigt, wie chinesischsprachige „Phishing-as-a-Service"-Plattformen nun RCS und iMessage nutzen, um SMS-Sicherheitsfilter zu umgehen. Plattformen wie „YY Lai Yu" verwenden die Ende-zu-Ende-Verschlüsselung moderner Messaging-Protokolle, um schadhafte Inhalte vor der carrier-seitigen Überprüfung zu verstecken. So können sie Einmalpasswörter in Echtzeit abfangen und digitale Geldbörsen für kontaktloses Bezahlen einrichten.

Der Bericht dokumentiert über 400 Phishing-Vorlagen, die Nutzer in 119 Ländern ins Visier nehmen. Die Botschaft ist klar: Je sicherer Messaging-Plattformen durch Verschlüsselung werden, desto mehr verlagern Angreifer ihre Angriffe auf die lokale Verarbeitung im Gerät – oder das psychologische Vertrauen der Nutzer in verschlüsselte Kanäle.

Ausblick: Was kommt auf Nutzer zu?

Das Zusammentreffen von Zero-Click-Schwachstellen, massiven Datenleaks und unverschlüsselter lokaler Speicherung deutet auf eine Phase erhöhten Risikos für Mobilnutzer hin. Während Sicherheitsfirmen wie CrowdStrike und Google daran arbeiten, Botnets zu zerschlagen – wie das Glassworm-Netzwerk, das erst am 27. Mai 2026 ausgeschaltet wurde – verschiebt sich der Fokus zunehmend auf die Sicherheit auf Entwickler- und Plattformebene.

Für den Normalnutzer reicht der traditionelle Rat, vor verdächtigen Links auf der Hut zu sein, bei Zero-Click-Exploits nicht mehr aus. Sicherheitsanalysten empfehlen nun die Nutzung hardwarebasierter Authentifizierung und eine konsequente Systempflege. Der Übergang zu FIDO2- und WebAuthn-Standards wird als Reaktion auf die Echtzeit-Abfangtechniken für Einmalpasswörter beschleunigt.

Die Ausbeutung von iOS 16 ist eine eindringliche Erinnerung: „N-Day"-Schwachstellen – bekannte Lücken in älteren Softwareversionen – bleiben eine hochwirksame Waffe für Angreifer. Solange ein erheblicher Teil der Weltbevölkerung ältere Hardware und Software nutzt, werden diese stillen, unsichtbaren Übernahmemethoden ein wertvolles Werkzeug bleiben – sowohl für finanzkriminelle Banden als auch für staatlich gesteuerte Akteure.

de | wissenschaft | 69425297 |