Sicherheitslücke: Gefahr für WhatsApp-Nutzer

• Erste Hinweise auf Angriffe
• Doppelte Sicherheitslücke entdeckt
• Zero-Click-Angriff ermöglicht Spionage
• Zielpersonen und Warnungen
• Empfohlene Schutzmaßnahmen

Eine Sicherheitslücke ermöglicht es Angreifern, ohne einen einzigen Klick über WhatsApp und eine Apple-Bibliothek auf iPhones, iPads und Macs zuzugreifen. Eine Schwachstelle führt zu einer beispiellosen Angriffswelle. Der Messenger-Konzern Meta und Apple reagieren mit Updates.

​Erste Hinweise auf Angriffe

Ende August verschickte WhatsApp Warnmeldungen an ausgewählte Nutzer. Laut Meta richteten sich die Attacken gegen weniger als zweihundert Personen. Die Sicherheitsmeldung sprach von einem „ausgeklügelten Angriff auf bestimmte Zielbenutzer”. Bereits zu diesem Zeitpunkt lag der Verdacht nahe, dass es sich um eine schwerwiegende Schwachstelle handeln könnte.

​Doppelte Sicherheitslücke entdeckt

Kurz darauf wurde bekannt, dass zwei voneinander unabhängige Lücken das Einfallstor bildeten. Die erste betraf WhatsApp selbst und ist unter der Kennung CVE-2025-55177 registriert. Die zweite fand sich in Apples Bildverarbeitungsbibliothek „Image I/O” (CVE-2025-43300). Beide Schwachstellen ließen sich kombinieren. Die betroffenen WhatsApp-Versionen auf Apple-Geräten lagen unter 2.25.21.73 bei iOS und 2.25.21.78 bei macOS.

​Zero-Click-Angriff ermöglicht Spionage

Besonders brisant: Die Angriffe funktionierten ohne Zutun der Nutzer. Es genügte bereits der Empfang einer manipulierten Bilddatei. Eine aktive Handlung wie das Öffnen der Datei oder ein Klick war nicht nötig. Fachleute sprechen in diesem Zusammenhang von einem Zero-Click-Angriff. In Kombination mit der automatischen Synchronisation zwischen iPhone, iPad und Mac konnten gleich mehrere Geräte gleichzeitig kompromittiert werden.

​Zielpersonen und Warnungen

Laut Angaben von Amnesty International standen vor allem Aktivisten, Journalisten und Regierungsmitarbeiter im Fokus der Angreifer. Donncha Ó Cearbhaill, der Leiter des Sicherheitslabors der Organisation, warnte öffentlich über die Plattform "X" vor der Spionagekampagne. Auch andere Sicherheitsexperten bestätigten eine gezielte Ausnutzung der Schwachstellen.

🚨 BREAKING: New zero-click exploit used to hack WhatsApp users.

WhatsApp has just sent out a round of threat notifications to individuals they believe where targeted by an advanced spyware campaign in past 90 days. 

Seek out expert help if you have received this alert pic.twitter.com/i4cHLsiNOr

— Donncha Ó Cearbhaill (@DonnchaC) August 29, 2025

​Empfohlene Schutzmaßnahmen

WhatsApp und Apple haben die Lücken inzwischen geschlossen. Nutzer sollen die Anwendung auf Version 2.25.21.73 oder höher aktualisieren. Auch die Betriebssysteme iOS, iPadOS und macOS müssen auf den neuesten Stand gebracht werden. Automatische Updates sollten aktiviert werden, um künftig schneller geschützt zu sein. Von unbekannten Bilddateien – insbesondere über WhatsApp – wird ausdrücklich abgeraten.