Neues aus der IT-Welt

17. Dezember 2025

Der Messenger WhatsApp und auch Signal verraten durch Laufzeiten für Nachrichtenbestätigungen viel über die Nutzer. Eine Proof-of-Concept-Implementierung zeigt das Problem auf und ermöglicht, aus diesen Meta-Informationen etwa Nutzerprofile zu erstellen. Eingeschränkte Abhilfe ist jedoch möglich.

Basierend auf einem Forschungspapier der Universität Wien (erstmals im November 2024 vorgestellt) steht jetzt eine Proof-of-Conecpt-Implementierung (PoC) mit dem Namen "WhatsApp-Device-Activity-Tracker" auf GitHub bereit. Sie mißbraucht die Empfangsbestätigungen, die Messenger wie Signal oder WhatsApp als Reaktion auf Nachrichten senden. Durch die Messung der Laufzeiten lassen sich Rückschlüsse auf Nutzer ziehen. Der PoC nutzt dabei sorgsam präparierte Nachrichten, die solche Empfangsbestätigungen auslösen, ohne daß Nutzer etwas davon mitbekommen.

Die Messung der sogenannten Rundlaufzeit (Round-Trip-Time, RTT) der WhatsApp-Empfangsbestätigungen erlaubt festzustellen, wann Nutzer ihr Gerät aktiv nutzen, wann es im Standby- oder Idle-Modus ist, mögliche Standortänderungen anhand von mobilen Daten oder WLAN und schließlich im Zeitverlauf das Anlegen und Erkennen von Aktivitätsmustern. Das stellt einen potenziell tiefgreifenden Eingriff in die Privatsphäre dar und läßt sich zur Überwachung mißbrauchen, schlussfolgern die Programmierer des PoC.

Der Proof-of-Concept führt diese Angriffe für WhatsApp vor. Zwei Sondierungsmethoden setzt er um: die eine schickt eine Lösch-Anforderung für eine nicht existierende Message-ID, die andere sendet ein Reaktions-Emoji für eine nicht existierende Message-ID. Der PoC mißt die Zeit zwischen dem Absenden der Nachricht und dem Empfang der ACK-Nachricht vom Client (Acknowledge, also die "Bestätigung" vom Opfer). Den Gerätestatus berechnet die Software anhand der Abweichung vom Median der Rundlaufzeit – unter 90 Prozent des Medians deutet auf aktive Gerätenutzung hin. Das Tool legt einen Verlauf an, wodurch es den Median fortwährend anpasst und so auch geänderte Netzwerkumgebungen berücksichtigt.

WhatsApp kennt eine Konfigurationsoption, mit der sich Nutzer zumindest ein Stück weit vor solchen Attacken schützen können. In WhatsApp müssen sie dazu das Symbol mit den drei übereinander gestapelten Punkten oben rechts in der Ecke auswählen und dort auf "Einstellungen" tippen. Weiter geht es über "Datenschutz" weit unten zu "Erweitert". Das Aktivieren von "Nachrichten von unbekannten Konten blockieren" führt dazu, daß WhatsApp "Nachrichten von unbekannten Konten" blockiert, "wenn sie eine bestimmte Anzahl überschreiten". Da es keinen Hinweis dazu gibt, wie hoch diese Anzahl an Nachrichten ist, liefert das jedoch keinen umfassenden Schutz. Für Signal nennen sie keine Einstellung, die Abhilfe schaffen könnte.

Im GitHub von Signal findet sich jedoch ein Vorschlag, wie sich Nutzer sch¨tzen können. "Signal unterstützt das Deaktivieren der Auffindbarkeit von Telefonnummern unter 'Einstellungen' -> 'Datenschutz' -> 'Telefonnummer' -> 'Wer kann meine Nummer sehen'. Ist die auf 'Niemand' gestellt, können Nutzer einen zufälligen alphanumerischen Username wählen und niemand ist in der Lage, dir etwaige Nachrichten zu schicken (Lieferbenachrichtigungen oder andere), außer, du teilst den Username mit ihnen".

Die Autoren weisen explizit darauf hin, daß das naheliegende Deaktivieren von Empfangsbestätigungen bei herkömmlichen Nachrichten helfe, jedoch nicht vor dieser speziellen Attacke schütze. "Stand Dezember 2025 bleibt diese Schwachstelle in WhatsApp und Signal mißbrauchbar", führen sie aus. Damit sind WhatsApp und Signal in der Pflicht, zügig eine Aktualisierung zu veröffentlichen, die diese Attacken verhindert.

Wir haben sowohl bei Signal als auch bei WhatsApp nachgefragt, ob und wann die Organisationen das Problem lösen wollen. Von WhatsApp kam umgehend eine KI-generierte Antwort, in der kein Zeitraum genannt und keine Aussage zu möglichen Problemlösungen genannt wurde. Auch zu der Anzahl von Nachrichten, bis die Sicherheitsfunktion weitere Anfragen blockiert, bleibt die Reaktion unkonkret: dies hängt "von verschiedenen Faktoren ab, wie z.B. der Art der Nachrichten und dem Verhalten des Angreifers. Wir können Ihnen keine spezifische Zahl nennen, da dies von Fall zu Fall variieren kann."

Grundsätzlich arbeitet WhatsApp an der Verbesserung der Privatsphäre. Ende April haben die Entwickler etwa die Funktion "Advanced Chat Privacy" vorgestellt.