WhatsApp im Krisenmodus: Neue Sicherheitslücken und Millionen-Schäden

Mehrere kritische Sicherheitslücken erschüttern den Messenger-Dienst WhatsApp. Betroffen sind Milliarden Nutzer weltweit.

Die jüngsten Sicherheitswarnungen lesen sich wie ein Alarmsignal für die digitale Kommunikation. Gleich zwei schwerwiegende Schwachstellen wurden in der vergangenen Woche öffentlich – und das ausgerechnet zu einem Zeitpunkt, an dem der Messenger alte Betriebssysteme endgültig aussortiert. Was steckt hinter den neuen Bedrohungen?

Während WhatsApp an Sicherheitslücken arbeitet, können Sie selbst aktiv werden: Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie Ihr Android-Smartphone mit 5 einfachen Schritten effektiv vor Hackern und Viren absichern. 5 Schutzmaßnahmen jetzt entdecken

Gefährliche Lücken in der Medienverarbeitung

Die erste Schwachstelle trägt die Kennung CVE-2026-23866 und betrifft die Art und Weise, wie WhatsApp mit KI-generierten Nachrichten umgeht. Konkret geht es um sogenannte „Rich-Response-Nachrichten", die mit Instagram-Reels verknüpft sind. Ein Angreifer kann damit eine manipulierte Nachricht versenden, die das Programm dazu bringt, Medieninhalte von einer fremden Internetadresse zu laden.

Betroffen sind WhatsApp für iOS in den Versionen 2.25.8.0 bis 2.26.15.72 sowie Android-Versionen von 2.25.8.0 bis 2.26.7.10. In besonders komplexen Szenarien könnte diese Lücke sogar dazu genutzt werden, systemweite Funktionen auf dem Smartphone zu aktivieren.

Die zweite Gefahr lauert auf dem Desktop. CVE-2026-23863 betrifft ausschließlich WhatsApp für Windows in Versionen vor 2.3000.1032164386.258709. Hier nutzen Angreifer eine Schwachstelle in der Dateinamen-Verarbeitung aus: Sie tarnen ausführbare Programme als harmlose PDFs oder Bilder. Der Empfänger sieht ein vertrautes Symbol – doch beim Öffnen wird Schadcode aktiviert.

Meta selbst erklärte am 6. Mai, dass es bisher keine Hinweise auf eine aktive Ausnutzung dieser Lücken gebe. Dennoch: Das Potenzial für großangelegte Phishing-Kampagnen ist enorm.

Das Ende für alte Smartphones

Parallel zu den Sicherheitswarnungen zieht der Konzern einen Schlussstrich unter die Unterstützung veralteter Geräte. Seit dem 5. Mai läuft WhatsApp nicht mehr auf iPhones, die kein iOS 15.1 oder neuer unterstützen. Das betrifft die komplette iPhone-5- und iPhone-6-Serie.

Für Android-Nutzer tickt eine Uhr: Bis zum 8. September 2026 müssen alle Geräte mindestens Android 6.0 installiert haben. Wer noch auf Android 5.0 oder 5.1 unterwegs ist, verliert danach den Zugang komplett.

Der Schritt ist strategisch klug. WhatsApp setzt seit Januar 2026 auf die Programmiersprache Rust, die für ihre überlegene Speichersicherheit bekannt ist. Ältere Betriebssysteme können diese Schutzmechanismen schlicht nicht nutzen.

Organisierte Kriminalität im großen Stil

Doch nicht nur technische Lücken sind das Problem. Ein spektakulärer Gerichtsfall in Singapur vom 29. April zeigt, wie professionell die Betrugsindustrie inzwischen arbeitet. Ein lokales Syndikat hatte zwischen November 2023 und Mai 2024 mehr als 887.000 Euro Gewinn erzielt – durch den Verkauf anonymer WhatsApp- und WeChat-Konten.

Die Masche: Tausende vorregistrierte SIM-Karten und spezielle SMS-Modems wurden genutzt, um scheinbar legitime Profile zu erstellen. Die beschlagnahmten Karten waren mit über 2.300 Polizeianzeigen verknüpft. Der Gesamtschaden: 51 Millionen Euro.

In Indien registrierte das Innenministerium allein im ersten Quartal 2024 stolze 43.797 Beschwerden über WhatsApp-Betrug. Besonders perfide: die sogenannte „Friend-in-Need"-Masche, bei der sich Täter als Bekannte ausgeben und um dringende Geldüberweisungen bitten. In Großbritannien stiegen diese Fälle Ende 2024 um 230 Prozent.

Verschlüsselung allein reicht nicht

WhatsApp wirbt seit Jahren mit seiner Ende-zu-Ende-Verschlüsselung. Doch Sicherheitsexperten warnen: Die Verschlüsselung schützt den Nachrichteninhalt – nicht aber die Metadaten. Wer mit wem wann wie lange kommuniziert, bleibt für WhatsApp sichtbar.

Interne Berichte zeigen: 2024 gab Meta auf mehr als 78 Prozent der behördlichen Anfragen Daten heraus. Meist handelte es sich um Metadaten oder unverschlüsselte Cloud-Backups.

Für besonders gefährdete Nutzer – Journalisten, Aktivisten, Politiker – gibt es seit Januar 2026 die „Strengen Kontoeinstellungen". Diese Sperrfunktion blockiert Medien und Anhänge von unbekannten Kontakten. Ein wirksamer Schutz gegen sogenannte „Zero-Click"-Angriffe, die ohne Zutun des Nutzers auskommen.

Der Blick nach vorn

WhatsApp arbeitet offenbar an einer Zukunft ohne Passwörter. Die Einführung von Passkeys für Android und iOS – die Authentifizierung per Fingerabdruck oder Gesichtserkennung – soll SIM-Swapping und Code-Diebstahl eindämmen.

Angesichts von über 4 Millionen gehackten Konten pro Quartal ist der Wechsel zu passwortlosen Anmeldungen ein wichtiger Sicherheitsgewinn. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Diensten wie WhatsApp oder Amazon schnell und stressfrei einrichten. Kostenlosen Passkey-Ratgeber herunterladen

Doch die Entdeckung von CVE-2026-23866 zeigt: Die Schnittstelle zwischen KI-Inhalten und Medienvorschauen wird 2026 ein zentrales Angriffsziel bleiben. Experten raten zu regelmäßigen Updates – und zu gesundem Misstrauen gegenüber unerwarteten Dateianhängen, selbst wenn sie von bekannten Kontakten stammen.

Bis zur September-Frist für alte Android-Geräte wird sich zeigen, ob Metas Strategie aufgeht: mehr Sicherheit durch weniger Kompatibilität. Für die Milliarden Nutzer bleibt die Devise: Aktualisieren, aufmerksam bleiben – und niemals auf den ersten Blick vertrauen.

de | wissenschaft | 69297484 |