Hacken ohne einen einzigen Klick: Wie Hacker über WhatsApp in iPhones eindrangen

Hacken ohne einen einzigen Klick: Wie Hacker über WhatsApp in iPhones eindrangen

Stellen Sie sich vor: Sie sitzen mit einer Tasse Kaffee, scrollen durch Instagram, beantworten Nachrichten auf WhatsApp. Alles wie immer. Und plötzlich – Ihr iPhone ist bereits gehackt. Sie haben keine verdächtigen Links angeklickt, keine merkwürdigen Dateien heruntergeladen, gar nichts gemacht. Sie haben das Telefon einfach nur in der Hand gehalten. Science-Fiction? Nein, Realität im August 2025.

Die Geschichte eines raffinierten Angriffs

In diesem Sommer entdeckten Cybersicherheits-Experten etwas Beängstigendes: Hacker hatten gelernt, iPhones und Macs über ganz normales WhatsApp zu hacken – mithilfe einer Kombination aus zwei Schwachstellen. Und für einen erfolgreichen Angriff musste das Opfer überhaupt nichts tun. Es reichte völlig aus, den Messenger installiert zu haben.

Solche Angriffe nennt man „Zero-Click“ – null Klicks, null Handlungen, null Chancen, den Angriff zu bemerken, bevor es zu spät ist.

Wie ist das überhaupt möglich?

Schauen wir uns an, wie diese „Cyber-Schwarze Magie“ funktionierte. Hacker fanden zwei Sicherheitslücken und kombinierten sie zu einer tödlichen Mischung.

Erste Lücke: WhatsApp öffnet die Tür
Die erste Schwachstelle versteckte sich in WhatsApp selbst. Das Problem betraf die Synchronisationsfunktion zwischen Geräten – also genau jene Funktion, die es Ihnen ermöglicht, WhatsApp gleichzeitig auf dem Handy und auf dem Computer zu nutzen.

Der Bug erlaubte Angreifern, Inhalte von beliebigen URLs an Ihr Gerät zu senden und dabei alle Sicherheitsprüfungen zu umgehen. WhatsApp dachte praktisch: „Oh, eine Nachricht zur Synchronisation – alles legal“, obwohl es in Wirklichkeit die erste Phase des Angriffs war.

Experten gaben dieser Schwachstelle den Code CVE-2025-55177 und bewerteten ihre Gefährlichkeit mit 8,0 von 10 Punkten. Ein sehr hoher Wert.

Zweite Lücke: Apple kommt mit Bildern nicht klar
Die zweite Schwachstelle war noch gravierender. Sie steckte im Kern von Apples Betriebssystemen – in der Komponente ImageIO, die für die Verarbeitung aller Bilder in iOS, iPadOS und macOS verantwortlich ist.

Wenn Ihr iPhone oder Mac ein speziell präpariertes bösartiges Bild empfing, kam es zu einem Speicherfehler. Das System begann, Daten dort zu schreiben, wo es eigentlich nicht sollte. Das ist, als würde der Postbote einen fremden Brief nicht nur in den falschen Briefkasten legen, sondern direkt in Ihre Wohnung – und dieser Brief wäre der Schlüssel zur Hintertür.

Diese Schwachstelle wurde als CVE-2025-43300 bezeichnet und mit 8,8 Punkten bewertet – kritisches Gefahrenniveau.

Das perfekte Verbrechen

Kombinieren Sie nun beide Schwachstellen – und Sie erhalten ein perfektes Spionagewerkzeug:

  1. Der Hacker sendet über WhatsApp eine spezielle Nachricht mit einem bösartigen Bild.
  2. WhatsApp liefert dieses Bild dank der ersten Schwachstelle brav auf Ihr Gerät.
  3. Ihr iPhone oder Mac beginnt automatisch, das Bild zu verarbeiten (so soll es ja sein, oder?).
  4. Die zweite Schwachstelle greift – der Speicherfehler tritt ein.
  5. Die Angreifer erhalten Kontrolle über Ihr Gerät.

Fertig. Sie haben nicht einmal geblinzelt – Ihr Telefon gehört nicht mehr nur Ihnen.

Wer wurde Opfer?

Die gute Nachricht: Es handelte sich nicht um einen Massenangriff auf alle WhatsApp-Nutzer.
Die schlechte Nachricht: Es war ein gezielter Angriff auf bestimmte hochrangige Personen. Das bedeutet, jemand hat enorme Ressourcen in die Entwicklung dieser Angriffsmethode investiert.

WhatsApp bestätigte den Angriff, nannte aber keine Namen und erklärte lediglich, dass „eine kleine Anzahl bestimmter Zielpersonen“ betroffen war.

Bis heute ist nicht bekannt, welche Hackergruppe oder welcher Staat hinter diesem Angriff steckt.

Die Situation zeigt eine unangenehme Wahrheit: Absolute Sicherheit existiert nicht. Wenn jemand genug Motivation und Ressourcen hat, findet er einen Weg, selbst das am besten geschützte System zu knacken.

Was kann der normale Nutzer tun?

Erstens: Öffnen Sie WhatsApp und aktualisieren Sie es auf die neueste Version. Das Unternehmen hat bereits einen Patch veröffentlicht (Version 25.16.81 und neuer), der diese Lücke schließt.

Zweitens: Aktualisieren Sie iOS, iPadOS oder macOS auf die neuesten Versionen. Apple hat die Schwachstelle in ImageIO bereits im August 2025 in den Updates iOS 18.6.2, iPadOS 18.6.2 und macOS Sequoia 15.6.2 behoben.

Drittens: Aktivieren Sie automatische Updates, um nicht ständig daran denken zu müssen.

Für Paranoiker und Risikopersonen

Wenn Sie Journalist, Aktivist, Politiker oder einfach jemand sind, der für Geheimdienste interessant sein könnte, hat Apple einen speziellen Modus für Sie: den Lockdown Mode (Isolationsmodus).

Das ist, als würden Sie Ihr iPhone in eine digitale Festung verwandeln. Ja, einige bequeme Funktionen werden nicht mehr funktionieren. Ja, manche Websites werden fehlerhaft angezeigt. Aber Ihre Sicherheit steigt erheblich. Dieser Modus ist für diejenigen gedacht, die wirklich im Fadenkreuz stehen.

Außerdem sollten Sie:

  • Ihr Gerät regelmäßig mit speziellen Tools auf Spuren von Angriffen prüfen (z. B. Mobile Verification Toolkit von Amnesty International)
  • Verschiedene Geräte für verschiedene Zwecke nutzen – legen Sie nicht alle Eier in einen Korb
  • Ihren digitalen Fußabdruck minimieren – je weniger man über Sie weiß, desto schwieriger ist es, Sie ins Visier zu nehmen

Wer ist gefährdet?

Seien wir ehrlich: Wenn Sie ein normaler Büroangestellter, Student oder Hausfrau sind, wird kaum jemand Ressourcen aufbringen, um eine Zero-Click-Attacke speziell für Sie zu entwickeln. Das lohnt sich wirtschaftlich einfach nicht.

Solche Angriffe werden für folgende Gruppen entwickelt:

  • Investigativjournalisten
  • Menschenrechtsverteidiger und Aktivisten
  • Politiker
  • Top-Manager großer Unternehmen
  • Diplomaten
  • Personen mit wertvollen Informationen oder Einfluss

Wenn Sie zu diesen Gruppen gehören, sollten Sie Ihre digitale Sicherheit wirklich ernst nehmen und sich ggf. von Experten beraten lassen.

Das Wettrüsten geht weiter

Diese Geschichte ist ein Paradebeispiel für das ewige Wettrüsten in der Welt der Cybersicherheit. Entwickler schaffen Schutz, Hacker finden Umgehungswege, Entwickler schließen Lücken, Hacker suchen neue. Und so weiter – endlos.

WhatsApp reagierte schnell und veröffentlichte einen Patch. Auch Apple zögerte nicht mit dem Update. Aber wie lange wird es dauern, bis der nächste raffinierte Angriff kommt?

Die Welt hat sich verändert. Ihr Smartphone weiß alles über Sie: wo Sie waren, mit wem Sie gesprochen haben, was Sie gekauft haben, worüber Sie nachgedacht haben. Es ist zu einer Verlängerung Ihres Bewusstseins geworden. Und genau das macht es zu einem unglaublich attraktiven Ziel für alle, die Sie überwachen wollen.