21-Jähriger veröffentlicht Software, mit der man euch auf WhatsApp und Signal verfolgen kann. So schützt ihr euch

WhatsApp und Signal weisen eine eklatante Sicherheitslücke auf. Ein junger Entwickler hat nun einen Tracker veröffentlicht, der genau diese Lücke ausnutzt – auch, um euch zu warnen.

Ursula Demling
20.12.2025 | 14:00 Uhr

Eine eklatante Sicherheitslücke bedroht WhatsApp- und Signalnutzern – beiden Unternhemen ist das bekannt. (Bildquelle: MR Vector, Adobe Stock) Eine eklatante Sicherheitslücke bedroht WhatsApp- und Signalnutzern – beiden Unternhemen ist das bekannt. (Bildquelle: MR Vector, Adobe Stock)

Stalking-Software zur freien Verfügung: Im Oktober 2025 legten Sicherheitsforscher der Universität Wien eine Studie vor, die zeigt, dass Messenger-Apps allein über die Handynummer unbemerkt Nutzungsdaten preisgeben.

Jetzt hat ein Entwickler ein Tool veröffentlicht, das genau diese Lücke nutzt – und spricht exklusiv mit GameStar Tech über seine Beweggründe.

Das ist passiert

  • Eine Forschungsgruppe der Informatik-Fakultät der Universität Wien hat im Oktober eine Studie veröffentlicht, die eine Sicherheitslücke von WhatsApp und anderen Messengern aufzeigt, die die Forscher Careless Whisper nennen.
  • Mit unsichtbaren Ping-Nachrichten können Angreifer per WhatsApp und Co. Informationen über euer Handy erhalten, die darauf schließen lassen können, was ihr gerade tut.
  • Nun hat der Entwickler Julian Ambrozy Software auf seinem Github-Repository veröffentlicht, die zeigt, wie leicht die Sicherheitslücke ausgenutzt werden kann.

Video starten 9:14 982 GB gekauft, 62 GB bekommen – doch bei der Betrugsmasche mit USB-Sticks kommt es noch schlimmer

21-Jähriger Entwickler macht die Lücke nutzbar

Auf LinkedIn beschreibt Ambrozy den Code als Proof of Concept der Careless-Whisper-Lücke, die von den Wiener Forschern aufgedeckt wurde (also als Demonstration).

Mithilfe des Trackers können sich User detaillierte Angaben zur Handynutzung der Zielperson ausgeben lassen – dafür reicht allein die Handy-Nummer eines Smartphones, auf dem WhatsApp oder Signal installiert ist.

Auf Instagram zeigt Ambrozy selbst, wie er mithilfe seines Tools sein eigenes Smartphone überwacht:

Link zum Instagram-Inhalt

Die Demonstration zeigt, wie die Spionage damit funktioniert:

  • Handy-Nummer und Messenger App: Um die Software zu nutzen, braucht es lediglich eine Handy-Nummer von einem Smartphone, auf dem eine Messenger-App installiert ist.
  • Unsichtbare Nachrichten: Das Tool sendet Reaktionen auf Nachrichten, die nicht existieren, und misst die Zeit, bis das ausgespähte Smartphone reagiert. Das Perfide: Das Spionage-Opfer bemerkt nichts davon.
  • Die Daten: Das Tool registriert etwa, ob ein Handy auf Stand-by ist oder im Flugmodus. Anhand der Round Trip Time (kurz RTT) kann das Tool außerdem einschätzen, ob ihr in einem WLAN-Netzwerk seid oder ihr gerade mobile Daten nutzt. Das lässt wiederum Rückschlüsse zu, ob ihr gerade zu Hause seid oder nicht.

Ambrozy betont in der Dokumentation auf GitHub, dass das Tool lediglich zu Forschungs- und Bildungszwecken dienen soll und ihr bei Benutzung ohne ausdrückliche Zustimmung der getrackten Person gegen Datenschutzgesetze verstoßen könnt.

Poco F7 Pro
Poco F7 Pro
Das Poco F7 Pro punktet mit hoher Performance, tollem OLED-Display und einem großen Akku.
Nothing Phone (3a) Pro
Nothing Phone (3a) Pro
Der »große Bruder« des Phone (3a) punktet mit einem besseren Kamerasystem und unterstützt eSIMs.
Google Pixel 9a
Google Pixel 9a
Das Pixel 9a ist die richtige Wahl, wenn ihr eine gute Kamera und eine lange Akkulaufzeit zu einem fairen Preis sucht.
Samsung Galaxy A56 5G
Samsung Galaxy A56 5G
Das Galaxy A56 überzeugt mit hellem OLED-Display, langem Update-Support und einem guten Kamerasystem.
Poco F7
Poco F7
Für einen Preis von unter 400 Euro bietet das Poco F7 eine Premium-Ausstattung und Top-Performance, für die ihr bei anderen Herstellern deutlich tiefer in die Tasche greifen müsst.
Nothing Phone (3a)
Nothing Phone (3a)
Wer ein stylisches Handy mit langer Akkulaufzeit, tollem Display und langem Sicherheits-Update-Support sucht, kann mit dem Phone (3a) nicht viel falsch machen.

Der Entwickler äußert sich: Code mit Unterstützung von ChatGPT umsetzbar

Auf Anfrage von GameStar Tech äußert sich Ambrozy zu seiner Motivation, den Code zur freien Verfügung ins Netz zu stellen. Seiner Ansicht nach stellt die Sicherheitslücke einen deutlichen Eingriff in die Privatsphäre dar, der dringend adressiert werden sollte.

Grundsätzlich sei ihm bewusst, dass die Verfügbarmachung des Tools und die damit verbundene Aufmerksamkeit auch potenzielle Täter anlocken könnte. Allerdings brauchte es für die Implementierung des Codes laut dem 21-Jährigen kein Expertenwissen:

Die technische Umsetzung ist so niedrigschwellig, dass sie auch von unerfahrenen Entwicklern – etwa mit Unterstützung von ChatGPT – realisiert werden kann.

Nach Ambrozys Einschätzung wurde in der Entwicklung bei Meta nicht sauber gearbeitet. Gegenüber GameStar Tech erklärt er ganz konkret, warum solches Tracking nicht möglich sein sollte:

  • Mangelhafte Nachrichten-Validierung: Messenger wie WhatsApp und Signal verarbeiten Reaktionen auf Nachrichten, die technisch nie existiert haben oder nicht zugestellt wurden.
  • Fehlerhafte Empfangsbestätigung: Anstatt bei ungültigen Anfragen einen Fehler auszugeben, generiert das System fälschlicherweise eine automatische Empfangsbestätigung.
  • Unsichtbarkeit durch Logikfehler: Da keine Bezugsnachricht vorhanden ist, kann das System keine sichtbare Benachrichtigung auf dem Display anzeigen. Die technische Bestätigung wird dennoch unbemerkt an den Absender zurückgeschickt.

Der 21-Jährige will mit der Veröffentlichung seines Trackers einerseits gezielt Druck auf Meta ausüben, die Lücke zu beheben, denn dem Konzern sei das Sicherheitsproblem nach Angaben der Wiener Forscher seit mindestens einem Jahr bekannt.

Andererseits wolle er auch den Nutzern aufzeigen, dass man sich bei Messengern nicht in falscher Sicherheit wiegen sollte.

Video starten 1:03 Hacknet: Die ungewöhnliche Hacker-Simulation lässt euch einen Mordfall aufklären

So schützt ihr euch vor dem Zugriff des Trackers

Ambrozy gibt in den sozialen Medien selbst an, wie ihr euch auf WhatsApp vor dem Zugriff seines Trackers schützen könnt.

Denn um euch mithilfe des Tools auszuspionieren, muss der Angreifer die Möglichkeit haben, euch von einer unbekannten Nummer aus Nachrichten zu senden – auch wenn ihr davon nichts mitbekommt.

So verhindert ihr den Zugriff auf WhatsApp:

  1. Öffnet WhatsApp.
  2. Tippt oben rechts auf das Drei-Punkte-Menü (⁝).
  3. Tippt auf Einstellungen.
  4. Tippt auf Datenschutz.
  5. Tippt auf Erweitert.
  6. Aktiviert Nachrichten von unbekannten Konten blockieren.
Mehr zu Whatsapp
3,5 Milliarden WhatsApp-Nummern abgerufen: Für den größten Datenabfluss der Geschichte reicht ein einfacher Trick
von Martin Brinkmann
3,5 Milliarden WhatsApp-Nummern abgerufen: Für den größten Datenabfluss der Geschichte reicht ein einfacher Trick
WhatsApp bekommt Werbung: Hier sind 3 Alternativen, die ihr werbefrei nutzen könnt
von Ursula Demling
WhatsApp bekommt Werbung: Hier sind 3 Alternativen, die ihr werbefrei nutzen könnt

So verhindert ihr den Zugriff auf Signal:

  1. Öffnet Signal.
  2. Tippt oben rechts auf das Drei-Punkte-Menü (⁝).
  3. Tippt auf Einstellungen.
  4. Tippt auf Datenschutz.
  5. Tippt auf Telefonnummer.
    Stellt Wer kann meine Telefonnummer sehen und Wer kann mich anhand meiner Telefonnummer finden auf Niemand.

Falls noch nicht geschehen, solltet ihr auf Signal dann einen Benutzernamen einstellen, über den man euch finden kann. Dazu geht ihr wie folgt vor:

  1. Öffnet Signal.
  2. Tippt auf euer Profilbild.
  3. Tippt auf Nutzername.
    Hier gebt ihr einen Namen ein, der von Signal automatisch mit einer Nummer versehen wird. Nun ist euer Signal-Account von eurer Handynummer entkoppelt.

Wenn ihr diese Einstellungen ändert, seid ihr vor dem Tracking durch Ambrozys Device Activity Tracker geschützt.

Auch interessant
Elon Musk und Mark Zuckerberg sind sich einig: Die Tage der Handys sind gezählt. Tim Cook sieht das anders.
von Ursula Demling
Elon Musk und Mark Zuckerberg sind sich einig: Die Tage der Handys sind gezählt. Tim Cook sieht das anders.

Noch keine Reaktion von Meta und Signal

Auf Basis der Arbeit der Wiener Forscher zeigt der 21-Jährige mit seinem Tool, wie einfach Meta und Signal es Angreifern derzeit machen, mithilfe von unsichtbaren Pings intime Nutzerdaten auszuspionieren.

Bisher gibt es von offizieller Seite weder von Meta noch von Signal ein Update, das diese Lücke schließt. Wir kontaktieren die Unternehmen außerdem und aktualisieren diesen Artikel, falls wir eine Antwort erhalten.

Solange die Messenger-Dienste keine technische Lösung implementieren, bleibt der beste Schutz für euch der manuelle Weg über die Privatsphäre-Einstellungen, um die eigene Erreichbarkeit für Unbekannte einzuschränken.

zu den Kommentaren (12)
Kommentare(12)
Kommentar-Regeln von GameStar
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
Kommentare einblenden

Nur angemeldete Benutzer können kommentieren und bewerten.

Ich habe ein Konto
Kostenlos registrieren
Neueste zuerst
Älteste zuerst
Top Kommentare
Top-Artikel
alle anzeigen
Die USA hat es gerade unmöglich gemacht, dass sich ihre Einwohner einen neuen Router kaufen
1
Die USA hat es gerade unmöglich gemacht, dass sich ihre Einwohner einen neuen Router kaufen
2
Lego-Alternative BlueBrixx bringt Asterix und Obelix mit Minifiguren und 25 Sets in die Hände von erwachsenen Sammlern
3
Zu langsam und altmodisch - Für Eiichiro Oda ist das One-Piece-Remake die Rettung des Originals
4
Kein Geld für eine finale Schlacht: Der Serien-Chef von The Boys deckelt für Staffel 5 die Erwartungen
5
Laut Psychologie haben diejenigen, die in den 60er- und 70er-Jahren aufgewachsen sind, mentale Stärken entwickelt, die durch heutige Technik verloren gehen
mehr anzeigen
Aktuelle Artikel
alle anzeigen
Ich wollte von euch wissen, ob ihr Gaming-Headsets mit Kabel nutzt und das Ergebnis hat mich regelrecht schockiert   18     2

vor 10 Minuten

Ich wollte von euch wissen, ob ihr Gaming-Headsets mit Kabel nutzt und das Ergebnis hat mich regelrecht schockiert
Das könnte der beste Mähroboter 2026 sein: Mein Fazit zum neuen ECOVACS GOAT!

vor 12 Minuten

Das könnte der beste Mähroboter 2026 sein: Mein Fazit zum neuen ECOVACS GOAT!
Need for Speed verliert seine Vergangenheit und ich schäme mich für EA   2     4 PLUS

vor 15 Minuten

Need for Speed verliert seine Vergangenheit und ich schäme mich für EA
Kostenlos bei Epic: Für 0 Euro könnt ihr jetzt eine zweite Karriere als Profi-Elektriker starten, ohne das Haus zu verlassen   3     5

vor 30 Minuten

Kostenlos bei Epic: Für 0 Euro könnt ihr jetzt eine zweite Karriere als Profi-Elektriker starten, ohne das Haus zu verlassen
mehr anzeigen