WhatsApp-Lücke: Zero-Click-Angriff auf iOS 16 kapert Konten

Sicherheitsforscher haben eine hochentwickelte Zero-Click-Attacke auf WhatsApp entdeckt, die gezielt Geräte mit iOS 16 angreift. Die Angreifer benötigen keinerlei Interaktion des Opfers, um Konten zu übernehmen und sensible kryptografische Schlüssel zu stehlen. Für deutsche Nutzer ist die Bedrohung besonders relevant: Viele halten an älteren iPhones fest, die keine aktuellen Sicherheitsupdates mehr erhalten.

Viele iPhone-Nutzer übersehen nach dem Update diese gefährliche Einstellung. Ein Apple-Experte erklärt in diesem kostenlosen Ratgeber, wie Sie Ihre Daten mit wenigen Klicks wirklich schützen und iOS-Updates stressfrei installieren. Kostenlosen Sicherheits-Ratgeber für iPhone-Updates sichern

Die technische Lücke: Zwei Schwachstellen im Zusammenspiel

Die Attacke nutzt zwei Sicherheitslücken aus. Über CVE-2025-43300 im ImageIO-Framework und CVE-2025-55177 verschaffen sich Angreifer Zugang zu WhatsApp-Konten. Apple hatte den ersten Fehler zwar bereits im August 2025 gepatcht – doch wer nicht auf eine neuere iOS-Version gewechselt ist, bleibt verwundbar.

Besonders tückisch: Da es sich um einen Zero-Click-Exploit handelt, reicht bereits der Empfang einer präparierten Nachricht. Einmal eingedrungen, stehlen die Angreifer die kryptografischen Schlüssel und geben sich als das Opfer aus. Ziel ist meistens der Versand betrügerischer Geldüberweisungsanfragen an Kontakte des Opfers. Europäische Cybersicherheitsfirmen, insbesondere in Italien, melden einen deutlichen Anstieg solcher Vorfälle.

Datenleck: Drei Terabyte WhatsApp-Informationen im Umlauf

Parallel zur aktiven Angriffswelle kursieren auf Cyberkriminalitätsforen riesige Datensätze mit über drei Terabyte WhatsApp-bezogener Informationen. Millionen von Telefonnummern, nach Regionen sortiert, sowie Namen und Adressen sind darin enthalten.

Branchenexperten gehen davon aus, dass die Daten aus früheren Phishing-Kampagnen oder Infostealer-Malware stammen – nicht aus einem direkten Einbruch in WhatsApp-Server. Dennoch erhöht die Verfügbarkeit dieser Datenmasse die Erfolgsquote gezielter Social-Engineering-Angriffe erheblich.

Unverschlüsselte Chat-Datenbanken: Neue Kontroverse um Meta

Das Sicherheitsunternehmen Mysk hat offengelegt, dass WhatsApp Chat-Datenbanken – darunter die Dateien „Axolotl.sqlite" und „ContactsV2.sqlite" – in unverschlüsselter Form in einem gemeinsamen App-Container auf iOS und macOS ablegt. Die Forscher warnen, dass theoretisch andere Meta-Apps wie Facebook oder Instagram auf diese Daten zugreifen könnten.

In der Fachwelt entbrannte eine Debatte. Einige Plattformspezialisten argumentieren, die standardmäßige Apple-Sandbox-Umgebung biete ausreichenden Schutz. Mysk entgegnet, die Sicherheit beruhe derzeit auf freiwilligen Designentscheidungen der Entwickler – nicht auf harter Verschlüsselung.

Texas verklagt Meta: Streit um Ende-zu-Ende-Verschlüsselung

Der texanische Attorney General hat Ende Mai 2026 Klage gegen Meta eingereicht. Der Vorwurf: Das Unternehmen täusche die Öffentlichkeit über die Reichweite seiner Ende-zu-Ende-Verschlüsselung (E2EE) . Die Anklagebehörde behauptet, Meta behalte sich die Möglichkeit vor, unverschlüsselte Nachrichten zu lesen – was der Konzern bestreitet.

Unabhängige Reverse-Engineering-Bemühungen haben bislang keine Hinweise darauf gefunden, dass das von WhatsApp genutzte Signal-Protokoll umgangen wurde. Dennoch wirft die Klage grundlegende Fragen zum Datenschutzversprechen des Messengers auf.

Neue Phishing-Welle: KI-gestützte Angriffe auf dem Vormarsch

Die Bedrohungslandschaft entwickelt sich rasant weiter. Sicherheitsanalysten beobachten eine welle von Phishing-Kampagnen über RCS und iMessage, die traditionelle SMS-Filter umgehen. Ermöglicht werden diese Angriffe durch chinesischsprachige „Phishing-as-a-Service"-Plattformen wie YY Lai Yu, die Nutzer in Nordamerika, Europa und Japan ins Visier nehmen.

Die Angreifer fangen Einmalpasswörter (OTPs) in Echtzeit ab, um die Multi-Faktor-Authentifizierung zu umgehen. Künstliche Intelligenz hilft ihnen dabei, täuschend echte Phishing-Seiten zu erstellen. Experten fordern daher den Umstieg auf phishing-resistente Authentifizierungsmethoden wie FIDO2 und WebAuthn.

4,7 Millionen gehackte Konten pro Quartal in Deutschland zeigen: Wer noch herkömmliche Passwörter nutzt, geht ein hohes Risiko ein. Dieser kostenlose Report zeigt Ihnen, wie Sie auf moderne Passkeys umsteigen und Ihre Konten bei Amazon, WhatsApp & Co. sicher schützen. Gratis-Report: Nie wieder Passwörter merken

WhatsApp führt Benutzernamen ein: Weniger Abhängigkeit von Telefonnummern

WhatsApp hat begonnen, eine neue Benutzernamen-Funktion auszurollen. Nutzer können künftig einen frei wählbaren Handle zwischen 3 und 35 Zeichen vergeben, der mindestens einen Buchstaben enthalten muss. Verboten sind Handles, die mit „www" beginnen oder mit Domain-Endungen enden.

Die Funktion soll die Privatsphäre stärken und die Abhängigkeit von Telefonnummern reduzieren – ein entscheidender Vorteil angesichts der massiven Datenlecks. Der Rollout begann mit begrenzten Tests, eine breitere Einführung wird für den Rest des Jahres 2026 erwartet.

Schutzmaßnahmen: iOS-Update als dringendste Empfehlung

Apple hat am 11. Mai 2026 iOS 26.5 veröffentlicht – mit über 50 Sicherheitsupdates. Die Version integriert zudem eine Beta der Ende-zu-Ende-verschlüsselten RCS-Kommunikation über das MLS-Protokoll und erfüllt EU-Interoperabilitätsanforderungen.

Für Nutzer, die nicht auf die neueste Version aktualisieren können, warnt das National Cyber Security Centre (NCSC) vor einer besonders perfiden Masche: Eine Nachricht von einem bekannten Kontakt bittet um eine Stimme bei einem Wettbewerb. Der Link führt zu einer betrügerischen Seite, die WhatsApp-Verifizierungscodes abgreift oder zum Scannen eines QR-Codes auffordert. Die Behörde betont: QR-Codes nur scannen, wenn man bewusst WhatsApp Web oder die Desktop-App verbinden möchte.

Ausblick: Der Kampf um die mobile Sicherheit

Die anhaltende Bedrohung durch Zero-Click-Exploits auf älteren iOS-Versionen zeigt das „N-Day"-Sicherheitsproblem: Bekannte Schwachstellen bleiben eine Gefahr für alle, die ihre Hardware nicht aktualisieren können oder wollen. Sicherheitsfirmen erwarten, dass KI-generierte Phishing-Angriffe weiter zunehmen werden.

Die Branche dürfte mit einem verstärkten Fokus auf hardwarebasierte Sicherheitsschlüssel und aggressiveren Betriebssystem-Sandboxing reagieren. Der Ausgang des Texas-Verfahrens gegen Meta könnte zudem einen wichtigen rechtlichen Präzedenzfall schaffen – für die Frage, wie Technologieunternehmen Ende-zu-Ende-Verschlüsselung definieren und vermarkten dürfen.

de | wissenschaft | 69423276 |