Eine neu entdeckte Schwachstelle in WhatsApp stellt Nutzer vor große Sicherheitsherausforderungen: Cyberkriminelle können über verknüpfte Geräte Zero-Click-Malware einschleusen — ganz ohne Zutun des Nutzers. Besonders betroffen sind iOS- und macOS-Systeme, auf denen Updates verzögert oder unvollständig greifen.
Zero-Click-Exploits: Die unsichtbare Bedrohung
Zero-Click-Attacken sind die heimtückischste Art digitaler Angriffe: Das Opfer muss weder auf einen Link noch auf einen Dateianhang klicken. Allein das Empfangen einer speziell präparierten Nachricht oder signalbasierten Payloads kann genügen, um Schadcode auszuführen. Bei der aktuellen WhatsApp-Lücke nutzen Angreifer genau dieses Prinzip.
Die Schwachstelle wurde im August 2025 vom Sicherheitsforscher Bakry Mansour (Amnesty Tech Security Lab) öffentlich gemacht. Sie betrifft die Verlinkungsfunktion von WhatsApp Web und WhatsApp Desktop. Über manipulierte Datenpakete, die an ein verknüpftes Gerät gesendet werden, kann sich expliziter Schadcode in den laufenden Prozess des WhatsApp-Clients einschleusen. Besonders prekär: Der Angriff braucht keinerlei Interaktion der Zielperson.
Die Funktion zur Geräteverknüpfung, die seit Mitte 2021 in WhatsApp integriert ist, erlaubt es, sich über ein Smartphone hinweg auf bis zu fünf begleitenden Geräten einzuloggen. Eine offene Lücke im Authentifizierungsprozess erlaubt es Angreifern offenbar, diese Sitzung zu kapern oder zu replizieren und Schadpakete einzuschleusen, die beim Entpacken den Exploit auslösen.
Meta reagiert – Patch veröffentlicht
Meta, der Mutterkonzern von WhatsApp, hat nach interner Untersuchung ein Sicherheitsupdate herausgegeben. In einem veröffentlichten Statement verweist Meta auf die CVE-Nummer CVE-2025-29341, unter der die Schwachstelle nun offiziell geführt wird. Der Patch wurde am 27. August 2025 ausgerollt und adressiert sowohl iOS- als auch macOS-Clients. Android und Windows-Versionen sind nach aktuellem Kenntnisstand nicht betroffen.
Meta rät dringend zur Aktualisierung auf die neueste WhatsApp-Version 2.25.34.7. Der Patch entschärft die Angriffspunkte, indem das Session-Handling zwischen verknüpften Geräten isoliert und zusätzliche Sandbox-Sicherheitsmechanismen eingeführt werden.
Apple und die Rolle der Upstream-Patches
Obwohl Meta die Schwachstelle in der eigenen App gepatcht hat, richtet sich ein Teil der Kritik an Apple. Sicherheitsforscher beklagen, dass Apples Umgang mit sogenannten Upstream-Implementierungen – also der Integration fremder Updates oder Sicherheitsverbesserungen in eigene Plattformen wie iOS oder macOS – weiterhin schleppend sei.
Ein konkreter Streitpunkt ist die Verzögerung von APIs, die WhatsApp zusätzliche Schutzmechanismen erlauben würden. Beispielsweise fehlen auf älteren iOS-Versionen die notwendigen Schnittstellen zur Verhinderung von Prozessinjektion durch Drittanwendungen. Das erhöht die Gefahr, dass selbst gepatchte Apps nicht vollständig geschützt sind.
Die Sicherheitsfirma Mysk berichtet, dass nur 61 % aller iPhones, die derzeit aktiv sind, im August 2025 auf der neuesten iOS-Version waren. Diese Versionsfraktierung erschwert effiziente Sicherheitsimplementierungen erheblich. Ähnliche Zahlen gelten für macOS-Systeme.
Laut Statista lagen die globalen Updates auf die jeweils aktuelle iOS-Version im Jahr 2024 bei rund 68 %, verglichen mit Android (54 %). Apple gilt zwar als sicherheitsorientiert, aber proprietäre Einschränkungen bei App-Schnittstellen verhindern oft zeitnahe Reaktionen von Drittanbietern.
Gefährdungslage für iOS- und macOS-Nutzer
Die Ausnutzbarkeit der Schwachstelle betrifft vor allem iOS- und macOS-Nutzer, da die Zielsysteme in diesen Ökosystemen oft wandelbare Sandbox- und Speicherverwaltungsfunktionen aufweisen. Der Angriff funktioniert insbesondere dann, wenn der Client längere Zeit im Hintergrund aktiv ist – was bei Desktop-Versionen häufiger der Fall ist als bei mobilen Geräten.
Ein weiterer Faktor ist die zunehmende Integration von Messaging-Apps auf Desktop-Systemen. Laut einer IDC-Studie aus dem Jahr 2025 verwenden 47 % aller Büroangestellten mindestens einen Messaging-Client auch auf dem Arbeitsrechner – Tendenz steigend. Damit wächst auch die Angriffsfläche für Schatten-IT und nicht gepatchte Instanzen.
Neben dem direkten Zugriff auf Daten können kompromittierte Clients auch als Ausgangspunkt für persistente Angriffe dienen, etwa durch Reverse Shells oder als Teil eines Botnets.
Gefährliche Kombination: Unsichtbare Malware und Desktop-Sessions
Die besondere Gefahr der aktuellen Lücke liegt in der fast perfekten Tarnung. Die eingesetzte Malware ist in vielen Fällen nicht einmal durch klassische AV-Lösungen detektierbar, da sie sich in legitime Prozesse einklinkt und keinerlei auffällige Aktivitäten im Frontend zeigt.
Das Exploit-Konzept ähnelt in seiner Struktur bereits bekannten Angriffen wie „Pegasus“ von NSO Group, die Zero-Click-Payloads über Messenger-Apps installierten. Dabei wird gezielt auf Schwachstellen in Multimedia-Bibliotheken oder Session-Verwaltungen gezielt, um Root-Zugriffe zu eskalieren.
Bedenklich ist auch, dass laut einer Analyse von Kaspersky vom Juli 2025 über 58 % der Zero-Day-Angriffe auf Messaging-Plattformen basieren – ein alarmierender Wert, der das Vertrauen in sicher geglaubte Plattformen massiv erschüttert.
Was Nutzer jetzt tun sollten
Angesichts der Sicherheitslage raten Experten zu sofortigem Handeln:
- Update umgehend installieren: Sowohl WhatsApp-Nutzer auf Desktop als auch auf iOS sollten prüfen, ob sie Version 2.25.34.7 verwenden und gegebenenfalls ein Update manuell anstoßen.
- Verknüpfte Geräte prüfen: Unter „Einstellungen > Verknüpfte Geräte“ lassen sich aktive Sessions einsehen. Alle unbekannten oder nicht genutzten Instanzen sollten entfernt werden.
- Sicherheitsbewusstsein stärken: Nutzer sollten regelmäßig App-Berechtigungen prüfen, automatische Anmeldungen deaktivieren und System-Updates nicht aufschieben.
Darüber hinaus sollten Unternehmen prüfen, ob ihre Endpoint Detection-Lösungen Webkanäle wie WhatsApp Desktop überwachen können – eine Fähigkeit, die bis heute in vielen EDR-Systemen nicht standardmäßig enthalten ist.
Für IT-Sicherheitsverantwortliche in Unternehmen ergibt sich der dringende Appell, Messaging-Clients, die auch auf Desktops genutzt werden, in das eigene Risikomanagement aufzunehmen und per Application Whitelisting zu reglementieren.
Strategischer Ausblick: Messenger als permanente Angriffsfläche
Messenger-Apps wie WhatsApp, iMessage oder Signal sind längst zu primären Kommunikationskanälen für private wie geschäftliche Nutzer geworden. Diese Omnipräsenz macht sie zu einem attraktiven Ziel für Advanced Persistent Threats (APT) und staatlich gelenkte Angreifergruppen.
Die aktuelle Schwachstelle ist dabei exemplarisch für ein strukturelles Problem: Viele Messaging-Anbieter streben maximale Geräteintegration an, ohne gleichzeitig gleichwertigen Authentifizierungs- und Sicherheitsmechanismen auf allen Plattformen umzusetzen. Dass dabei beliebte Features wie „Multi-Device“ auch als Einfallstor genutzt werden können, ist ein systemisches Risiko.
Aus der Sicherheitsgemeinschaft wird deshalb der Ruf nach transparenten Bug-Bounty-Programmen, standardisierten Multi-Plattform-Patching-Verfahren und besseren System-APIs zur Attackenerkennung laut. Die Lücke bei WhatsApp ist in ihrer Wirkung stark, weil sie symbolisiert, wie gravierend Zero-Click-Lücken den gesamten Device Stack kompromittieren können.
Fazit: Mehr Bewusstsein, weniger Automatismus
Die aktuelle WhatsApp-Lücke zeigt erneut, wie angreifbar moderne Kommunikationsinfrastrukturen sind – selbst dann, wenn Anbieter wie Meta schnell reagieren. Zero-Click-Exploits sind gefährlich, weil sie dem Nutzer die Kontrolle entziehen. Umso wichtiger ist es, Systemhersteller, App-Entwickler und Nutzer gleichermaßen in die Verantwortung zu nehmen.
Security beginnt nicht bei der Software allein – sondern im Zusammenspiel aller Komponenten. Wir laden unsere Leser ein, Erfahrungen mit Sicherheits-Tools, WhatsApp-Alternativen oder Abwehrstrategien in den Kommentaren zu teilen. Bleiben Sie informiert, kritisch und aktiv – für eine digitale Welt mit mehr Resilienz.
