Neue 0-Click-Warnung: WhatsApp-Kontenübernahme bei iOS 16-Benutzern

Laut einer forensischen Untersuchung der italienischen Sicherheitsfirma Forenser nutzen Angreifer eine Zero-Click-Angriffs-Kette. Diese Methode ermöglicht es den Tätern, WhatsApp-Konten stumm zu übernehmen, während der legitime Nutzer weiterhin angemeldet ist und nichts Übernahme bemerkt.

Die Opfer, die hauptsächlich iPhones vom Modell 8 bis 14 mit iOS 16 betreiben, stellten fest, dass aus ihren Konten unbefugte Nachrichten gesendet wurden, die Geldüberweisungen forderten. Im Abschnitt „Verknüpfte Geräte" konnten sie jedoch keine verdächtigen Aktivitäten oder neuen Geräte erkennen.

Im Gegensatz zu traditionellen Angriffsmethoden wie QR-Code-Phishing oder GhostPairing-Kampagnen erfordert dieser Vorfall keine Benutzeraktion. Das macht ihn erheblich gefährlicher und deutlich schwerer zu erkennen, da der Nutzer keinen Auslöser für den Angriff wahrnimmt.

Die forensische Analyse ergab ungewöhnliche „Resync"-Ereignisse

Die forensische Analyse ergab ungewöhnliche „Resync"-Ereignisse in den iOS-Systemprotokollen. Dies deutet darauf hin, dass sowohl das Gerät des Opfers als auch der Client des Angreifers gleichzeitig darum konkurrierten, die Kontrolle über dieselbe WhatsApp-Sitzung zu übernehmen.

Dieses Verhalten lässt vermuten, dass der Angreifer eine parallele Sitzung einrichtet, ohne sie als verknüpftes Gerät offiziell zu registrieren. Auf diese Weise wird die Sichtbarkeitskontrolle nutzt reportedly eine Kombination aus zwei spezifischen Schwachstellen: CVE-2025-43300 und CVE-2025-55177.

CVE-2025-43300 ist ein Fehler in Apple ImageIO, der Speicherzugriffe außerhalb der Grenzen (out-of-bounds write) ermöglicht. CVE-2025-55177 ist eine Schwachstelle in der Synchronisation verknüpfter Geräte bei WhatsApp, die iOS-Versionen unter 16.7.12 betrifft. CVE-2025-43300 erlaubt eine bösartige Ausnutzung über Bilder.

Sicherheitslage und Risiko

CVE-2025-55177 führt zu einer fehlerhaften Verarbeitung für verknüpfte Geräte auf anfälligen iOS-Geräten. Forscher stellten fest, dass Angreifer diese Lücken ausnutzen können, um kryptografische Sitzungsdaten direkt vom Gerät des Opfers zu extrahieren.

Daraus wird ein bösartiger WhatsApp-Klient initialisiert, der mit dem Konto verknüpft ist, ohne Alarm auszulösen. Als Beleg für diese Vorgehensweise dienen wiederholt dokumentierte Bildverarbeitungsfehler in den Systemprotokollen zum Zeitpunkt der Kompromittierung.

Diese unterstreichen die Wahrscheinlichkeit eines bösartigen Payloads, das über bildbasierte Angriffsvektoren eingebracht wird. In kontrollierten Labortests konnte Forenser Teile des Angriffs erfolgreich nachstellen.

Sicherheitslage und Risiko

Dabei bestätigte sich, dass eine Sitzungsübernahme ohne Kenntnis des Nutzers und ohne typische forensische Spuren wie neue Gerätepaarungen erfolgen kann. Um das Risiko zu mindern, wird Nutzern dringend empfohlen, ihre Geräte auf die neueste iOS-Version zu aktualisieren. Apple hat die Schwachstelle CVE-2025-43300 in neueren Versionen bereits behoben.

Als zusätzliche Schutzmaßnahmen gelten die Neuinstallation, das Aktivieren der Chat-Sperre-Funktion zur Einschränkung unbefugten Zugriffs sowie die Neuauthentifizierung äten, um bestehende Sitzungen ültig zu machen. Benutzer sollten zudem auf verdächtige finanzielle Anfragen über WhatsApp nicht direkt antworten, sondern diese telefonisch überprüfen.

Angreifer können laufende Gespräche abfangen und so Vertrauen missbrauchen. Diese Kampagne verdeutlicht einen wachsenden Trend: Zero-Click-Exploits, die früher fast ausschließlich auf fortgeschrittene, staatlich geförderte Operationen beschränkt waren, werden zunehmend.

Sicherheitslage und Risiko

Die weit verbreitete Nutzung 16-Geräten in Kombination mit öffentlich dokumentierten Schwachstellen hat die Angriffsfläche vergrößert. Dies ermöglicht es Bedrohungsakteuren, ausgefeilte Angriffe effektiver zu skalieren.

Während die Ermittlungen weitergehen, unterstreicht dieser Vorfall die Dringlichkeit rechtzeitiger Patches und proaktiver mobiler Sicherheitspraktiken im Schutz gegen sich entwickelnde Zero-Click-Bedrohungen.