Meta erweitert WhatsApps Sicherheitsforschung mit einer Belohnung von 4 Millionen Dollar

Meta hat sein Bug-Bounty-Programm für WhatsApp erweitert und neue Anreize zur Verbesserung der Sicherheitsforschung auf der Messaging-Plattform sowie eine Prämie von 4 Millionen Dollar für White-Hat-Hacker angekündigt, die Schwachstellen entdecken.

Laut einer am Dienstag veröffentlichten Pressemitteilung des Technologieunternehmens ist WhatsApp ein lukratives Ziel für staatlich geförderte Hacker und Entwickler kommerzieller Spionagesoftware. Meta erklärte, die neue Initiative solle es Sicherheitsforschern erleichtern, speziell auf den Messenger-Dienst ausgerichtete Hacking-Strategien zu untersuchen.

Meta startet WhatsApp Research Proxy für Bug-Bounty-Forscher

Meta hat vorgestellt , das Sicherheitsforschern helfen soll, das Netzwerkprotokoll der Messaging-Plattform effektiver zu untersuchen. Das Tool steht zunächst einer ausgewählten Gruppe langjähriger Teilnehmer von Bug-Bounty-Programmen zur Verfügung und vereinfacht laut Unternehmen die Untersuchung der WhatsApp-Infrastruktur.

Der Research Proxy soll dazu beitragen, Schwachstellen aufzudecken, die sonst unentdeckt bleiben würden. Es gibt Pläne, den Zugang im Laufe der Zeit auf weitere Forscher auszuweiten, was in den kommenden Monaten zur öffentlichen Veröffentlichung führen wird.

„Unser Ziel ist es, die Einstiegshürde für Wissenschaftler und andere Forscher, die mit Bug-Bounties möglicherweise noch nicht so vertraut sind, zu senken und sie zur Teilnahme an unserem Programm zu bewegen“, sagte ein Sprecher von Meta. „WhatsApp-Clients und die Serverinfrastruktur sind zwar attraktive Ziele, aber gleichzeitig auch besonders schwer zu findende Fehlerquellen.“

Meta schüttet 25 Millionen Dollar an Teilnehmer an weltweiten Bug-Hunting-Aktionen aus.

Meta bestätigte, dass das Unternehmen in diesem Jahr bereits 4 Millionen US-Dollar für fast 800 validierte Berichte ausgezahlt hat. In den vergangenen 15 Jahren hat Meta mehr als 25 Millionen US-Dollar an 1.400 Forscher aus 88 Ländern vergeben und rund 13.000 Einreichungen von Sicherheitsforschern weltweit erhalten.

Laut dem neuesten Blogbeitrag des Mutterkonzerns von Facebook und Instagram haben akademische Forscher der Universität Wien kürzlich eine neue Methode zur Erfassung von WhatsApp-Konten in großem Umfang vorgestellt. 

Eine Studie der Universität Wien erstellte mithilfe von Open-Source-Tools Listen möglicher Telefonnummern und überprüfte, ob die bei WhatsApp öffentlich zugängliche Informationen enthielten. Obwohl die Untersuchung die vorgesehenen Grenzen der Plattform überschritt, gab Meta an, wertvolle Sicherheitslücken aufgezeigt zu haben, die es zu beheben gelte.

Weitere Fehler wurden in einer unvollständigen Validierung von WhatsApp-Versionen vor v2.25.23.73, WhatsApp Business für iOS v2.25.23.82 und WhatsApp für Mac v2.25.23.83 gefunden. 

Die Sicherheitslücken hätten es Angreifern ermöglicht, Inhalte von beliebigen URLs auf dem Gerät eines anderen Nutzers zu verarbeiten. Meta veröffentlichte einen Patch auf Betriebssystemebene, um CVE-2025-59489 zu beheben. Diese Sicherheitslücke hätte Schadsoftware auf Quest-Geräten installieren können, um beliebigen Code in Unity-Anwendungen auszuführen.

Auf der jährlichen Bug-Bounty-Konferenz für Forscher wurde der Sicherheitsforscher RyotaK mit dem „Most Impact Award“ für diedentvon Fehlern im Zusammenhang mit der Quest-Geräte-Schwachstelle ausgezeichnet, die auf Drittanbietercode von Unity tracwar. RyotaK arbeitete mit Unity zusammen, um das Problem zu beheben, das Apps betraf, die mit Unity 2017.1 und späteren Versionen erstellt wurden.

Meta feiert juristischen Sieg im Kartellverfahren der US-Handelskommission (FTC).

Die Ankündigung des Bug-Bounty-Programms von Meta erfolgte kurz nach einem juristischen Sieg in ihrem Kartellverfahren gegen die US-amerikanische Federal Trade Commission, wie berichtete Cryptopolitan Cryptopolitan . 

Die FTC hatte vor fünf Jahren behauptet, Meta besitze über Instagram und WhatsApp ein Monopol im Bereich sozialer Netzwerke. In einer schriftlichen Stellungnahme erklärte Richter James Boasberg vom US-Bezirksgericht in Washington, D.C., die FTC habe ihren Fall nicht beweisen können. 

„Unabhängig davon, ob Meta in der Vergangenheit eine Monopolstellung enjoder nicht, muss die Behörde nachweisen, dass sie diese Stellung auch heute noch ausübt. Das heutige Urteil des Gerichts stellt fest, dass die FTC dies nicht getan hat. Ein entsprechendes Urteil wird heute verkündet.“

Meta-CEO Mark Zuckerberg, die ehemalige operative Leiterin Sheryl Sandberg, Instagram-Mitbegründer Kevin Systrom und weitere Führungskräfte sagten Anfang des Jahres aus. Das Gericht hatte die Klage 2021 mangels Beweisen abgewiesen, obwohl die FTC im selben Jahr eine geänderte Klage mit aktualisierten Kennzahlen und Nutzerdaten eingereicht hatte. 

Boasberg ließ den Fall nach einer Überprüfung im Jahr 2022 weiterverfolgen, entschied aber diese Woche schließlich zugunsten von Meta.

Joe Simonson, der Leiter der Öffentlichkeitsarbeit der FTC, argumentierte, dass Meta von Richter Boasberg bevorzugt werde, gegen den seiner Aussage nach „derzeit ein Amtsenthebungsverfahren läuft“. 

„Wir prüfen alle unsere Optionen“, sagte Simonson nach der Urteilsverkündung gegenüber Reportern und deutete damit an, dass möglicherweise noch eine Berufung eingelegt werden könnte.