WhatsApp: Kritische Zero-Click-Lücke ermöglicht Spyware-Angriffe
Eine schwerwiegende Zero-Click-Sicherheitslücke in WhatsApp für iOS und macOS ermöglicht Remote-Geräteübernahme ohne Nutzerinteraktion. US-Behörden stufen die Bedrohung als kritisch ein.
Eine gefährliche Sicherheitslücke in WhatsApp für iOS und macOS wird bereits aktiv für gezielte Spionage-Attacken ausgenutzt. Meta bestätigte, dass Angreifer über die Schwachstelle Geräte kompromittieren können, ohne dass Nutzer etwas anklicken müssen.
Die als CVE-2025-55177 eingestufte Zero-Click-Lücke liegt in der Synchronisation verknüpfter Geräte. Cyberkriminelle können darüber beliebige schädliche Web-Inhalte auf Zielgeräte schleusen. Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle bereits in ihren Katalog bekannter Bedrohungen aufgenommen.
Angriff ohne Nutzer-Interaktion
Besonders perfide: Die Attacke funktioniert völlig ohne Zutun der Opfer. Sicherheitsexperten berichten, dass die WhatsApp-Lücke zusammen mit einer Apple-Schwachstelle (CVE-2025-43300) im Image-Framework ausgenutzt wurde.
Das Angriffsmuster folgt einem raffinierten Schema: Eine schädliche Nachricht löst zunächst die Apple-Schwachstelle aus und führt zu Speicherfehlern. Anschließend nutzen die Angreifer die WhatsApp-Sync-Lücke, um die vollständige Kontrolle über das Gerät zu übernehmen.
Apple schloss seine Sicherheitslücke bereits am 20. August 2025. Die WhatsApp-Komponente blieb jedoch bis zur aktuellen Patch-Veröffentlichung angreifbar. Beide Unternehmen schweigen zu technischen Details der Attacken und den betroffenen Opfern.
Behörden schlagen Alarm
CISA reagierte prompt: Am 2. September 2025 landete CVE-2025-55177 auf der Liste kritischer Schwachstellen. Alle US-Bundesbehörden müssen bis zum 23. September 2025 ihre Systeme absichern.
Sicherheitsexperten warnen vor einer Ausweitung der Angriffe. Die Fähigkeit zur Remote-Code-Ausführung macht die Lücke auch für Ransomware-Gruppen attraktiv. Betroffen sind WhatsApp für iOS vor Version 2.25.21.73, WhatsApp Business für iOS vor 2.25.21.78 und WhatsApp für Mac vor 2.25.21.78.
Whistleblower-Klage belastet Meta zusätzlich
Die Entdeckung der kritischen Lücke fällt in eine turbulente Phase für Metas Sicherheitsruf. Anfang September 2025 verklagte der ehemalige WhatsApp-Sicherheitschef Attaullah Baig das Unternehmen wegen systematischer Sicherheitsmängel.
Baigs Vorwürfe wiegen schwer: Rund 1.500 WhatsApp-Ingenieure sollen uneingeschränkten Zugriff auf sensible Nutzerdaten gehabt haben. Täglich würden über 100.000 Nutzerkonten gehackt, ohne dass Meta angemessen reagiere.
Der von 2021 bis Anfang 2025 bei WhatsApp beschäftigte Baig behauptet, nach Beschwerden bei CEO Mark Zuckerberg entlassen worden zu sein. Meta weist die Anschuldigungen als „verzerrt“ zurück und spricht von einem wegen schlechter Leistungen entlassenen Mitarbeiter.
Nutzer müssen jetzt handeln
Meta hat gepatchte Versionen von WhatsApp veröffentlicht und drängt alle Nutzer zum sofortigen Update. Bei vermuteten Angriffen empfiehlt WhatsApp sogar einen kompletten Factory-Reset der betroffenen Geräte.
Anzeige: Passend zur aktuellen WhatsApp-Sicherheitslage: Wer eine datenschutzfreundliche Alternative sucht, wechselt in wenigen Minuten zu Telegram – auf Wunsch ohne die eigene Nummer preiszugeben. Ein kostenloser PDF-Report erklärt Schritt für Schritt Einrichtung, geheime/verschlüsselte Chats und die wichtigsten Sicherheits-Einstellungen. Ideal auch für Einsteiger. Jetzt den kostenlosen Telegram-Guide sichern
Der Vorfall erinnert an die Pegasus-Spyware, die ebenfalls Zero-Day-Lücken in Messaging-Apps ausnutzte. Solche Schwachstellen sind bei staatlichen Akteuren und Cyberkriminellen heiß begehrt.
Nutzer sollten automatische Updates aktivieren, um kritische Sicherheits-Patches sofort zu erhalten. Bei über drei Milliarden WhatsApp-Nutzern weltweit steht viel auf dem Spiel.
