Eine kritische Sicherheitslücke in WhatsApp für Android erlaubt Angreifern die heimliche Installation von Schadsoftware – ohne dass Nutzer etwas tun müssen. Google’s Elite-Sicherheitsteam Project Zero entdeckte das sogenannte Zero-Click-Exploit, das über Gruppenchats funktioniert. Die Experten raten dringend, die automatische Medien-Download-Funktion sofort zu deaktivieren.
So funktioniert der lautlose Angriff
Die Schwachstelle nutzt aus, wie WhatsApp Medien in Gruppenchats auf Android verarbeitet. Ein Angreifer muss lediglich eine Gruppe erstellen, das Opfer hinzufügen und eine speziell präparierte Bild- oder Videodatei verschicken. Ist der automatische Download aktiviert – die Standardeinstellung bei den meisten Nutzern – wird die Schadsoftware sofort auf dem Gerät gespeichert. Das Opfer muss die Nachricht nicht einmal öffnen.
„Der gesamte Prozess läuft automatisch im Hintergrund ab“, erklärt ein Sicherheitsanalyst. „Damit umgeht der Angriff die klassische Sicherheitswarnung, keine verdächtigen Links zu klicken.“ Besonders heikel: Das Opfer muss nur der Gruppe hinzugefügt werden, was die Schwachstelle extrem gefährlich macht.
Passend zum Thema WhatsApp-Sicherheit: Wenn Sie Sorge haben, dass private Chats oder Medien ohne Ihr Zutun auf Fremde zugänglich werden, kann ein Wechsel zu einer datenschutzfokussierten Alternative sinnvoll sein. Das kostenlose Telegram-Startpaket zeigt Schritt für Schritt, wie Sie Telegram sicher einrichten, geheime Chats nutzen und Ihre Telefonnummer verbergen – ohne Datenverlust. Im Report finden Sie zudem konkrete Einstellungen, um automatische Downloads und unbekannte Anhänge zu blockieren. Telegram-Startpaket jetzt kostenlos anfordern
So schützen Sie sich sofort
Die wichtigste Gegenmaßnahme ist simpel: Deaktivieren Sie die automatischen Medien-Downloads in den WhatsApp-Einstellungen. So erhalten Sie die volle Kontrolle darüber, was auf Ihr Gerät gelangt.
Schritt-für-Schritt-Anleitung für Android:
1. Öffnen Sie WhatsApp und tippen Sie auf das Drei-Punkte-Menü (oben rechts).
2. Wählen Sie Einstellungen > Speicher und Daten.
3. Tippen Sie unter Medien automatisch herunterladen auf jede der drei Optionen („Bei Mobilfunkverbindung“, „Bei WLAN-Verbindung“, „Im Roaming“).
4. Deaktivieren Sie alle Häkchen bei Fotos, Audio, Videos und Dokumenten.
5. Bestätigen Sie mit OK.
Nach dieser Änderung laden Medien nur noch herunter, wenn Sie manuell darauf tippen – und der spezifische Angriffsweg ist blockiert.
Meta arbeitet an Lösung – Rust als neues Fundament
Auf die Hinweise von Google reagierte WhatsApp-Mutterkonzern Meta bereits. Ein Server-Update vom 11. November 2025 soll das Problem teilweise behoben haben. Eine vollständige Client-Aktualisierung für alle Nutzer steht jedoch noch aus.
Gleichzeitig modernisiert WhatsApp seine Sicherheitsarchitektur grundlegend. Eine neue Funktion namens „Strikte Kontoeinstellungen“ soll Hochrisiko-Nutzer schützen, indem sie Anhänge von unbekannten Kontakten blockiert. Noch bedeutender ist der technische Kernwechsel: WhatsApp baut seine Medien-Bibliothek in der Programmiersprache Rust neu auf, die für ihre hohe Speichersicherheit bekannt ist und viele Fehlerquellen für solche Lücken von vornherein ausschließt.
Zero-Click-Exploits: Die unsichtbare Gefahr wächst
Der Fall unterstreicht die wachsende Bedrohung durch Zero-Click-Exploits. Im Gegensatz zu Phishing-Angriffen benötigen sie keinerlei Interaktion des Opfers. Damit sind sie das Werkzeug der Wahl für gezielte Attacken auf Journalisten, Aktivisten oder Unternehmensführer.
Die Arbeit von Teams wie Project Zero ist für das Ökosystem Cybersicherheit unverzichtbar. Sie identifizieren Schwachstellen, bevor sie massenhaft ausgenutzt werden können, und setzen Konzerne unter Druck, sie zu schließen. Für den Durchschnittsnutzer bleibt die Lehre: Standardeinstellungen sind selten die sichersten. In einer Zeit ausgefeilter Angriffe muss die eigene Wachsamkeit Teil der digitalen Hygiene werden – durch regelmäßige Kontrolle der Privatsphäre-Einstellungen und sofortiges Installieren von Sicherheitsupdates.
PS: Wenn Sie WhatsApp nicht mehr blind vertrauen wollen, testen Sie Telegram risikolos. Das kostenlose Startpaket führt Sie durch die Migration, erklärt die wichtigsten Datenschutz-Einstellungen und enthält eine praktische Checkliste, mit der Sie in wenigen Minuten automatische Downloads und unbekannte Anhänge sicher managen. So behalten Sie die Kontrolle über Ihre Medien und schützen Ihre Identität. Zum kostenlosen Telegram-Startpaket
