News Exploit: WhatsApp ließ den Abruf von 3,5 Mrd. Telefonnummern zu

[mae]

[Jemand reitet auf sprachlichen Unterschieden herum]

Als ehemaliger Forscher kann ich nur zustimmen [...] Gendern hilft nicht, besser wäre es daran zu arbeiten, daß das Geschlecht keine Rolle spielt statt sprachlich auf dem Unterschiese herumzureiten.

Bei letzterem stimme ich Dir zu. Aber warum stimmst Du jemandem zu, der auf sprachlichen Unterschieden herumreitet?

Warum sollte jeder schreiben wie er sollte?

Ergibt sich aus der Redefreiheit. Warum solltest Du, willriker, oder sonstwer vorschreiben koennen, wie ich oder ein Chefredakteur schreiben?

 

[schwimmcoder]

Du bist dir also sicher, das es deine Nummer noch nie gab?

Ist halt auffällig, dass die Spamanrufe erst seit ca. 1 Monat kommen und vorher nichts, nur auf meiner alten Rufnummer.

 

[daknoll]

Sorry, besuch nochmal einen Deutschkurs. Spielende Kinder spielen genau jetzt. Deswegen gibst die Substantivierung. Das ist keine Interpretation, sondern hat man früher im Deutschunterricht gelernt. Heute tanzt man da zwar mehr seinen Namen, wie es scheint, ändert aber nichts am Faktum.

Ich sagte ja schon, lass es gut sein, dein Faktum ist mir egal.

 

[aid0nex]

es Millionen aktive Konten in Ländern gibt, in denen WhatsApp eigentlich verboten ist (darunter China, Iran, Myanmar)

Ach was, staatliche Verbote bringen gar nichts?
Mensch, das ist ja eine Erkenntnis! Ich dachte eigentlich, dass es auch keine illegalen Drogen und Waffen geben würde, weil verboten...

 

[ueg]

Ich dachte eigentlich, dass es auch keine illegalen Drogen und Waffen geben würde, weil verboten...

Und du meinst, dass es nicht mehr Drogennehmende oder Waffen gäbe, wenn man sich die an jeder Ecke legal kaufen könnte?
Die Amerikaner mit ihren laxen Waffenregulatorien haben sicher nicht meh mit Waffengewalt zu schaffen als wir hier.

 

[ElliotAlderson]

Musst du nicht, da die Daten Ende zu Ende verschlüsselt sind. Der Server hat zwar deine Daten, kann diese aber nicht lesen, da sie verschlüsselt sind.

Sagen sie, aber wer weiß, ob es nicht einen Backupschlüssel gibt. Wie funktioniert sowas eigentlich bei Gruppenchats?

 

[gustlegga]

Hachja, Meta mal wieder..... und täglich grüßt das Murmeltier.
Nur die User kapierens natürlich auch diesmal wieder mehrheitlich nicht in ihrem Kommunikations Stockholm Syndrom.
Haben wir uns gestern schon köstlich im r/Austria darüber ausgelassen....

Ich würde jedem empfehlen sich den mehrseitigen Bericht bei heise von gestern zu Gemüte zu führen.
https://www.heise.de/news/3-5-Milli...chnis-abgerufen-und-ausgewertet-11082660.html
Die kleine News hier besteht leider zur Hälfte nur aus allgemeinem Blabla und zur Hälfte aus dem Wischiwaschi von der Fuckerberg´schen Rotzbude.

 

[areiland]

Dann weißt du aber noch nicht, dass diese Nummern WhatsApp nutzen oder wie sie ggf aussehen

Es gab doch im Artikel gar keinen Hinweis darauf, dass die Nummern tatsächlich abgesaugt wurden! Selbst die hier immer genannten Spamanrufe sind gar kein Hinweis - weil diese Anrufer schon seit langem einfach von Computern das Rufnummernschema durchtelefonieren lassen. Und dabei beschränken die sich schon lange immer auf Rufnummernblöcke und wechseln die in Abständen.

Die brauchen schlicht gar keine Rufnummerndatenbanken, weil ihnen das Rufnummernschema ausreicht und sie für diese Datenbanken auch noch Geld bezahlen müssten, das sie sich sparen können.

Ich hab diese Anrufe auch gehabt, inzwischen ist wieder Ruhe, weil die sich den nächsten Block vorgenommen haben und nun den abtelefonieren lassen.

 

[alyk.brevin]

Wie funktioniert sowas eigentlich bei Gruppenchats?

zb so: eine nachricht wird einmalig mit einem nachrichtenschlüssel verschlüsselt und der nachrichtenschlüssel wird jeweils mit den öffentlichen schlüsseln der gruppenteilnehmer verschlüsselt und angehängt. eine nachricht wächst also mit jedem gruppenteilnehmer minimal und deshalb gibt es da auch irgendwann eine beschränkung der gruppengröße.

somit kann jeder gruppenteilnehmer mit dem eigenen privaten schlüssel zuerst den nachrichtenschlüssel entschlüsseln und damit dann die nachricht.

 

[Domi83]

Kann ich für Fluffychat nicht im Ansatz bestätigen.

Holy... als ich den Namen eben gelesen hatte, dachte ich an Zeiten von meiner Cousine, die mir mal was von "Knuddelz" erzählt hatte. Aber das ist ja wirklich ne Android App

Im Matrix Netz bin ich auch Aktiv, aber über Elements (hieß mal RIOT, oder so). Bringt aber eher weniger, wenn 200 Kontakte nur via WhatsApp erreichbar sind und die, die man so an sich nicht benötigt, dann in anderen Kanälen unterwegs sind.

Thema Threema hatten hier schon einige gesagt, da wollen die Leute einfach kein Geld in die Hand nehmen, da wäre dann Signal wohl eine Alternative... nutzten in meiner Liste aber auch nur die nicht so relevanten Kontakte.

Was das Thema WhatsApp und den Artikel angeht... denen muss wirklich mal einer so richtig auf die Nase hauen. Ich bin gegen die Sperre von Diensten etc. (freies Internet und so), aber hier muss das mal EU-DSGVO Technisch so scheppern, dass einer den Knopf drückt und WA ist aus

 

[ElliotAlderson]

zb so: eine nachricht wird einmalig mit einem nachrichtenschlüssel verschlüsselt und der nachrichtenschlüssel wird jeweils mit den öffentlichen schlüsseln der gruppenteilnehmer verschlüsselt und angehängt. eine nachricht wächst also mit jedem gruppenteilnehmer minimal und deshalb gibt es da auch irgendwann eine beschränkung der gruppengröße.

Danke für die Erklärung. Sowas in die Richtung habe ich mir auch schon gedacht, aber gibt es da keine elegantere Lösung?

 

[Spock37]

So ein unglaublicher ZUFALL aber auch! Das ist ja etwas, mit dem NIEMAND rechnen konnte.

 

[alyk.brevin]

ich gehe davon aus, dass das die aktuell eleganteste lösung ist, aber ich bin da auch kein experte.
es wird ja schon seit vielen jahren daran geforscht, das möglich sicher und trotzdem komfortabel zu machen.
wenn es dich weiter interessiert, dann fang zb hier an:
https://en.wikipedia.org/wiki/Signal_Protocol (auf englisch sind die infos meist aktueller und ausführlicher)

edit: das ist wohl die nächste stufe, aber keine ahnung, wie die funktioniert: https://en.wikipedia.org/wiki/Messaging_Layer_Security

 

[Duman]

Messenger wie Session, SimpleX, Briar sind ja alle schön und gut, aber die saugen den Akku extrem schnell leer. Ich habe Threema damals gekauft, allerdings nutze ich eher Signal. Würde man keine Telefonnummer für die Registrierung benötigen, wäre Signal definitiv der beste Messenger. Threema punktet zwar in diesem Punkt, aber speichert ein wenig mehr Meta-Daten. Beide Messenger haben ihre Vor- und Nachteile.

 

[areiland]

@Duman
Sämtliche anderen Messengerdienste kranken vor allem daran, dass alle Welt bei Whatsapp ist und die allerwenigsten umziehen wollen. Hab ich auch durch, von meinen Kontakten sind gerade mal vier auf Threema gelandet und sämtliche Kommunikation findet weiterhin auf Whatsapp statt.

 

[KitKat::new()]

Danke für die Erklärung. Sowas in die Richtung habe ich mir auch schon gedacht, aber gibt es da keine elegantere Lösung?

Es gibt grob folgende verbreitete Optionen:
1. Das beschriebene (nutzen Signal und WhatsApp)
2. MEGOLM: Es wird regelmäßig neue symmetrische Gruppenschlüssel erstellt, mit dem alle Teilnehmer*innen die Nachrichten verschlüsseln und entschlüsseln können -> spart etwas arbeitet, wenn man den nicht jede Nachricht, sondern nur alle x Nachrichten (und bei Mitglieder*innenwechsel) aktualisiert (nutzt Matrix).
3. MLS: Es gibt einen Algorithmus, wie man Schlüssel gemäß eines Binärbaumes gestaltet, sodass man nicht für alle einen Schlüssel verteilen muss, sondern nur log(x) viele - mit dem Problem, dass man dann auf einem zentralisierten Server angewiesen ist. Dafür gibt es dann wiederum Derivate wie dMLS, die jedoch wieder etwas ineffizienter sind.

 

[jabberwalky]

Ist bei mir anders. 90% der Kommunikation läuft über THREEMA. Ich habe zwar mehr WA Kontakte aber kommuniziert wird sehr viel über Threema. Da sind sehr viele über die Jahre gekommen. So gut wie alle Kontakte die ich für das tägliche Leben benötige nutzen auch Threema.
Singal habe ich eine Zeitlang probiert, aber das nutzt zumindest bei mir so gut wie keiner. Da hab ich 3 Kontakte oder so.

Das das bei WA passiert war ja mal absehbar. Denke das könnte bei allen anderen auch passieren. Aber die kriminelle Engerie bei all den Anwendern heutzutage ist echt schlimm. Hoffe das das einfach noch keiner so mitbekommen hat. Auch wenn ich mir das nicht vorstellen kann.

 

[don.redhorse]

Da geb ich dir recht und da bin ich froh das bei uns sowohl die Grundschule wie auch die Gesamtschule jeweils auf Apps setzt. (Schoolfox und Untis). Klar wirbt man auch für WA Gruppen aber die nutzen wir nicht. Wofür auch wenn man den wichtigen Kontakt über die App halten kann.

wir haben auch eine App, wird von Seiten der Schule nicht wirklich benutzt und es ist eben keine vernünftige Kommunikation der Eltern untereinander möglich. Deswegen wurde halt eine WA Gruppe auf gemacht.

 

[NJay]

Sagen sie, aber wer weiß, ob es nicht einen Backupschlüssel gibt. Wie funktioniert sowas eigentlich bei Gruppenchats?

Du hättest dich auch mal 5 Sekunden informieren können.

Die Software ist komplett Open Source, Server wie Clients und Protokolle. Du kannst alles für dich sogar selber kompilieren, wenn du ihnen nicht vertraust um auch sicher zu gehen, dass keine Backdoor drin ist. Sicherer als bei Matrix kannst du dir praktisch nicht sein, dass keine Backdoor verbaut ist.

Ergänzung (19. November 2025)

Es gab doch im Artikel gar keinen Hinweis darauf, dass die Nummern tatsächlich abgesaugt wurden!

Doch, die Forscher haben das eben getan.

 

[areiland]

Doch, die Forscher haben das eben getan.

Haben sie eben nicht! Genau das haben sie nämlich offen gelassen und nur die Möglichkeit betont. Einen Abzug der Telefonnummern haben sie nirgendwo belegt.