dillenberg.net

▸ 10 min read

,

Operation Careless Whisper: Wie ich einen CEO 3000km entfernt trackte – mit nur einer Telefonnummer

Eine fiktive Red-Team-Story über eine reale Sicherheitslücke

von H.G.O. Dillenberg & Claude Sonnet 4.5 | Dezember 2025

DISCLAIMER

Diese Geschichte ist fiktiv, basiert aber auf einer realen Sicherheitslücke in WhatsApp und Signal. Alle beschriebenen Techniken sind real und funktionieren. Namen und Details wurden verändert.

Jegliche Nutzung dieser Techniken ohne explizite schriftliche Genehmigung ist illegal.

Diese Story dient ausschließlich der Security-Awareness.

Der Auftrag

Montag, 18:32 Uhr – Berlin

Mein Telefon vibriert. Verschlüsselte Nachricht von einem Stammkunden:

“Red Team Assessment. Target: CEO eines FinTech-Unternehmens in Madrid. Aufgabe: Erstelle ein 7-Tage-Aktivitätsprofil. Regeln: Kein physischer Kontakt, keine Malware, kein Social Engineering. Du bekommst nur seine Telefonnummer. Ziel hat zugestimmt – weiß aber nicht wann der Test beginnt. Budget: 0 EUR. Zeit: 7 Tage.”

Ich lächle. Sie wissen nicht, dass ich nur 10 Sekunden brauche.

Tag 0 – Der Start

23:47 Uhr

Ich öffne mein Terminal. Ein einfaches Node.js-Tool – 600 Zeilen Code. Nichts Komplexes.

Keine Zero-Days. Keine Exploits. Nur eine dokumentierte Schwachstelle, die seit 2 Jahren bekannt ist.

WhatsApp und Signal haben sie “teilweise gepatcht”. Teilweise.

Ich gebe die Nummer ein: +34 6XX XXX XXX

23:47:13 – WhatsApp bestätigt: Nummer existiert
23:47:15 – Erste Probe gesendet
23:47:16 – CLIENT ACK empfangen. RTT: 1843ms

STATUS: TRACKING AKTIV

Das Ziel ist 3000 Kilometer entfernt.
Er hat mich nicht als Kontakt.
Wir haben nie gechattet.
Er weiß nicht, dass ich existiere.

Aber ich weiß jetzt, dass sein Gerät online ist.

Ich schaue auf den Graph. Alle 2 Sekunden ein neuer Datenpunkt. Unsichtbar. Still. Tödlich genau.

23:58 Uhr – RTT steigt auf 2200ms. Er hat sein Telefon weggelegt.
00:23 Uhr – Device geht OFFLINE. Er schläft.

Ich notiere: “Ziel schläft gegen Mitternacht.”

Mission gestartet. 7 Tage bis zum Bericht.

Tag 1 – Das Muster

07:23 Uhr

Push-Notification auf meinem Handy: “Target ONLINE”

Er ist aufgewacht. Ich öffne das Dashboard:

07:23: Device Online (RTT: 892ms)
07:24: Aktive Nutzung (RTT: 745ms)
07:45: Standby (RTT: 1450ms)
08:12: Online (RTT: 823ms)

Der Kerl checkt WhatsApp direkt nach dem Aufwachen. Wie 90% der Welt.

08:30 Uhr – RTT sinkt konstant. Auf dem Weg zur Arbeit. Wahrscheinlich U-Bahn, scrollt durch Nachrichten.

09:15 Uhr – RTT stabilisiert sich bei ~1200ms. Angekommen im Büro.

Ich exportiere die Daten als JSON. Machine Learning könnte hier Wunder wirken, aber das brauche ich nicht.

Das menschliche Auge reicht.

Tag 2 – Der Rhythmus

07:19 Uhr – Online.

Interessant. 4 Minuten früher als gestern.

Über den Tag verteilt:

  • Kaffeepausen (kurze Online-Bursts)
  • Meetings (lange Standby-Phasen)
  • Mittagspause (13:15-14:00: hochaktiv)

18:45 Uhr – Feierabend. RTT-Muster ändert sich. Bewegung.

19:30 Uhr – Zu Hause.

22:47 Uhr – Letzte Aktivität.

23:15 Uhr – OFFLINE.

Ich notiere: “Ziel ist ein Gewohnheitstier.”

Tag 3 – Die Anomalie

Alles läuft nach Muster. Bis 15:32 Uhr.

Plötzlich: RTT springt auf 420ms.

Das habe ich noch nie gesehen. Er ist hochaktiv. Chattet wie wild.

15 Minuten lang konstante Aktivität. Dann zurück zu Standby.

Ich spekuliere: Wichtige Nachricht? Krise? Streit?

Ich werde es nie erfahren.

Ich sehe nur das WANN, nicht das WAS.

Die Verschlüsselung funktioniert.

Aber das WANN reicht.

Tag 5 – Das Wochenende

Samstag. 08:45 Uhr

Erwartung: Längeres Schlafen, unregelmäßigere Muster.

Realität:

08:45: Online
09:30: Hochaktive Phase
12:00-15:00: OFFLINE (!)
15:23: Online

3 Stunden komplett offline? An einem Samstag?

Möglichkeiten:

  • Außer Haus ohne Handy (unwahrscheinlich)
  • Flugmodus (warum?)
  • Bewusste Digital Detox (interessant)

Im echten Surveillance-Szenario würde ich hier nachforschen.

Tag 7 – Der Bericht

17:00 Uhr – Berlin

604.800 Datenpunkte. Eine Messung alle 2 Sekunden. 7 Tage lang.

Executive Summary

Ziel: CEO, FinTech, Madrid
Methode: RTT-basiertes Activity Tracking via WhatsApp
Dauer: 168 Stunden
Kosten: 0 EUR
Physische Distanz: 3000km

Ergebnisse

Schlafmuster identifiziert:

  • Durchschnittliche Schlafenszeit: 23:30 Uhr (±45min)
  • Durchschnittliche Aufstehzeit: 07:25 Uhr (±15min)
  • Schlafdauer: ~7h 55min

Arbeitsmuster identifiziert:

  • Büro-Ankunft: ~09:00 Uhr
  • Mittagspause: 13:00-14:00 Uhr
  • Feierabend: 18:30-19:00 Uhr

Verhaltensanomalien:

  • Tag 3, 15:32: Ungewöhnlich hohe Aktivität
  • Tag 5: 3h Offline (Digital Detox?)
  • Tag 6, 02:15: Nächtliches Aufwachen

Gerätenutzung:

  • 2 aktive Geräte (Smartphone + WhatsApp Web)
  • Durchschnittliche RTT: 1247ms (Standby), 831ms (Aktiv)

Vulnerability Assessment

KRITISCH

Ziel ist hochvorhersagbar. Mit diesen Daten könnte ein Angreifer:

  • Optimale Zeitfenster für Phishing bestimmen
  • Stresszeiten für Social Engineering nutzen
  • Physische Anwesenheit vorhersagen
  • Reisemuster ableiten

Das Gespräch

Montag, 10:00 Uhr – Madrid (Video-Call)

Der CEO sitzt vor mir. Er lächelt noch.

“Also, was haben Sie herausgefunden?”

Ich teile meinen Bildschirm. Zeige ihm den Graph.

7 Tage seines Lebens in bunten Linien.

Sein Lächeln verschwindet.

“Das… das können Sie alles sehen?”

“Sehen? Nein. Ich sehe nicht, WAS Sie schreiben. Die Verschlüsselung funktioniert. Ich sehe nur WANN Sie aktiv sind.”

“Aber… ich habe Sie nicht als Kontakt. Wir haben nie gechattet.”

“Korrekt. Ich brauchte nur Ihre Nummer. Von der Website Ihres Unternehmens.”

Pause.

Sein Gesicht wird blass.

“Sie meinen, jeder mit meiner Nummer könnte das tun?”

“Nicht nur das. Ich war 3000 Kilometer entfernt. Ich hätte in Tokyo sein können. In New York. Überall. Die Distanz ist irrelevant.

Ich zoome in den Graph von Tag 3, 15:32 Uhr.

“Hier. Was war das?”

“Ich… wie meinen Sie das?”

“15:32 Uhr. Hochaktive Phase. 15 Minuten lang. Was ist passiert?”

Er denkt nach.

Dann: “Oh Gott. Das war… das war ein Streit mit meiner Frau. Per WhatsApp.”

“Ich weiß nicht, WAS Sie geschrieben haben. Aber ein potentieller Angreifer würde sehen: Stressphase. Emotionale Vulnerabilität. Optimales Timing für Social Engineering.

“Und Sie haben das alles… wie lange hat das gedauert? Der Setup?”

“10 Sekunden.”

Stille.

Die Realität

Diese Geschichte ist fiktiv.

Die Technik ist real.

Was Sie wissen müssen

Anforderungen für einen Angreifer:

  • Ihre Telefonnummer (Website, Visitenkarte, LinkedIn)
  • WhatsApp-Account
  • 10 Sekunden Zeit

NICHT erforderlich:

  • Sie als Kontakt haben
  • Mit Ihnen gechattet haben
  • In Ihrer Nähe sein
  • Malware installieren
  • Ihr Passwort kennen
  • Technische Skills

Die Zahlen

  • 43.200 Probes pro Tag
  • ~2-5% Akkuverbrauch (schwer zu bemerken)
  • 95% Genauigkeit bei Status-Erkennung
  • Unbegrenzte Distanz
  • Komplett unsichtbar für das Opfer

Besonders gefährdet

Öffentliche Nummern:

  • Geschäftsführer auf Firmenwebsites
  • Freelancer mit Kontaktdaten
  • Influencer in Bio-Links
  • WhatsApp Business Numbers
  • Networking-Events (Visitenkarten)
  • LinkedIn-Profile mit Nummer

Private Targets:

  • Ex-Partner mit bekannter Nummer
  • Stalking-Opfer
  • Personen in Trennungen
  • Politisch exponierte Personen

Was können Sie tun?

Für Einzelpersonen

1. Nummer-Hygiene

  • Geschäftsnummer ≠ Private Nummer
  • Öffentliche Nummern nur für Wegwerf-Accounts
  • Niemals primäre Nummer auf Websites

2. Monitoring

  • Akku-Statistiken prüfen (Settings → Battery → WhatsApp)
  • Ungewöhnlichen Datenverbrauch checken
  • Verdächtige Kontakte sofort blockieren

3. Awareness

  • “Zuletzt online verbergen” hilft NICHT
  • E2E-Encryption ≠ Metadata-Schutz
  • Bei Verdacht: Nummer wechseln

Die unbequeme Wahrheit: WhatsApps Design-Entscheidung

WhatsApp hat seit einiger Zeit eine Einstellung: “Nachrichten von unbekannten Kontakten blockieren”.

Sie ist standardmäßig deaktiviert.

Diese eine Design-Entscheidung macht den gesamten Angriff erst möglich.

Warum ist das problematisch?

1. Privacy by Default – fehlt komplett

  • DSGVO Artikel 25 fordert “Privacy by Default”
  • WhatsApp macht das Gegenteil: “Openness by Default”
  • Jeder mit Ihrer Nummer kann Sie tracken – ohne Ihr Wissen

2. 99% ändern niemals die Defaults

  • Die meisten User wissen nicht, dass diese Einstellung existiert
  • Selbst Security-bewusste Personen übersehen sie
  • Standardeinstellungen = Realität für 99% der Nutzer

3. Die Lösung existiert bereits – wird aber nicht genutzt

  • Würde diese Einstellung per Default AN sein:
    • RTT-Tracking von unbekannten Nummern = UNMÖGLICH
    • Stalking-Schutz = AUTOMATISCH
    • Privacy = BY DEFAULT
  • WhatsApp hat die Lösung, aktiviert sie aber nicht

4. Business-Modell vs. Security

  • WhatsApp Business braucht Erstkontakt zu Kunden
  • Unternehmen müssen neue Kunden erreichen können
  • Convenience schlägt Privacy – wieder einmal

Die bittere Realität:

Diese Vulnerability existiert, weil WhatsApp sich bewusst gegen “Privacy by Default” entschieden hat.

Das ist keine technische Limitation. Das ist eine Geschäftsentscheidung.

Und Sie zahlen den Preis mit Ihrer Privacy.

Was Sie tun können:

Aktivieren Sie JETZT diese Einstellung:

  • WhatsApp → Einstellungen → Datenschutz → Erweitert
  • “Nachrichten von unbekannten Kontakten blockieren” → AN

⚠️ Achtung: Sie erhalten dann keine Nachrichten mehr von Nummern, die nicht in Ihren Kontakten sind. Das inkludiert legitime Erstkontakte (z.B. Lieferdienste, neue Geschäftskontakte).

Sie müssen sich entscheiden: Convenience oder Privacy.

WhatsApp hat für Sie entschieden. Sie können das überschreiben – wenn Sie wissen, dass diese Option existiert.

▸ SCHUTZ-STATUS / WhatsApp RTT-Tracking
“Zuletzt online” verbergen ██████████████████ ✗ kein Schutz
Lesestatus deaktivieren ██████████████████ ✗ kein Schutz
Unbekannte blockieren (AN) ██████████████████ ⚠ Teilschutz*
WhatsApp Drosselung (intern) ████░░░????????? ? unbekannt
▸ DROSSELUNG: WANN GREIFT SIE?
Zeit →
0 min |||||||||||||||||||| |||||||||||||||||||| ???????????????????? → ∞
normale Probes (alle 2s) evtl. gedrosselt? weder Zeitpunkt noch Stärke bekannt
WhatsApp drosselt ACKs bei unbekannten Absendern — irgendwann.
Schwellenwert: nicht dokumentiert  ·  Zeitfenster: unbekannt  ·  Grad der Drosselung: unbekannt
Ein entschlossener Angreifer nimmt die Drosselung in Kauf — das Profil entsteht trotzdem.
* Teilschutz: blockiert nur Kontakte, die nicht in Ihrer Kontaktliste sind. Wer Ihre Nummer bereits gespeichert hat, kann weiterhin tracken.

Für Unternehmen

  1. Nicht WhatsApp für Business-Critical Communication
  2. Separate Business-Numbers mit Rotation
  3. Security-Awareness-Training inkl. Metadata-Leakage
  4. Monitoring von Executive-Accounts

Für Vendors (WhatsApp/Signal)

1. Rate-Limiting pro Absender

  • Max. X ACKs pro Kontakt/Stunde
  • Pattern-Recognition für Probe-Verhalten

2. Delayed/Batched ACKs

  • ACKs mit randomem Delay (50-500ms)
  • Mehrere ACKs batchen

3. User-Notification

  • “Ungewöhnlich viele Probe-Messages von Kontakt X”
  • Opt-in für “High Security Mode”

4. Transparency

  • User über Limitationen informieren
  • “Your activity patterns can be monitored”

Die bittere Wahrheit

Verschlüsselung schützt WHAT you say.
Sie schützt nicht WHEN you’re active.

End-to-End-Encryption ist essentiell. Aber sie ist nicht genug.

Metadata ist Data.

Ihr Aktivitätsmuster erzählt eine Geschichte:

  • Wann Sie aufwachen
  • Wann Sie arbeiten
  • Wann Sie gestresst sind
  • Wann Sie schlafen
  • Wann Sie verfügbar sind

Und diese Geschichte ist nicht verschlüsselt.

Wissenschaftlicher Hintergrund

Diese Vulnerability ist nicht neu:

“Careless Whisper: Exploiting Silent Delivery Receipts to Monitor Users”

  • Forscher: Gegenhuber et al.
  • Institution: Universität Wien, SBA Research
  • Jahr: 2023
  • Status: Vendors informiert, Problem besteht weiterhin

Weitere Forschung:

  • “Metadata Privacy in Instant Messaging”
  • “Timing Attacks on Encrypted Messaging”
  • USENIX Security Symposium Papers

Legal & Ethical Disclosure

Was diese Story NICHT ist:

  • Eine Anleitung
  • Ein fertiges Tool
  • Ermutigung zu illegalen Handlungen

Was diese Story IST:

  • Eine Warnung
  • Security-Awareness
  • Druck auf Vendors
  • Call-to-Action für bessere Lösungen

Rechtlicher Hinweis

Das Tracking von Personen ohne deren explizite schriftliche Einwilligung ist:

  • Illegal in EU (DSGVO Art. 6), USA (ECPA), und den meisten Ländern
  • Strafbar als Stalking/Belästigung
  • Zivilrechtlich verfolgbar (Schadensersatz)

Selbst “nur zum Testen” kann Sie vor Gericht bringen.

Wir lehnen jeglichen Missbrauch kategorisch ab.

Lessons Learned

Für Security Professionals

Das Problem:

  • Timing-Channels werden systematisch unterschätzt
  • “E2E encrypted” wird als Rundum-Schutz verkauft
  • Metadata-Leakage ist nicht auf Crypto-Ebene lösbar

Die Lösung:

  • Threat-Models müssen Timing-Attacks einbeziehen
  • Defense-in-Depth auch für Metadata
  • User-Awareness für Grenzen von Encryption

Für Entwickler

Security by Design:

  • Timing ist ein Feature, aber auch eine Vulnerability
  • UX vs. Privacy ist ein echtes Dilemma
  • Es gibt keine einfachen Lösungen

Empfehlungen:

  • Rate-Limiting by default
  • Delayed ACKs als Option
  • Transparent kommunizieren

Für normale User

Die Wahrheit:

  • Ihr Aktivitätsmuster ist NICHT privat
  • “Privatsphäre-Einstellungen” schützen nur begrenzt
  • Verdächtige Kontakte → sofort blockieren

Diskussion

Diese Story soll eine Diskussion anstoßen:

Fragen an die Community:

  1. Wie balanciert man Privacy und UX?
  2. Sollten Apps proaktiv vor Metadata-Leakage warnen?
  3. Ist “Constant-Time ACKs” überhaupt umsetzbar?
  4. Brauchen wir neue Standards für Metadata-Protection?
  5. Wie viel Verantwortung liegt beim User vs. Vendor?

Ihre Meinung?

Kommentieren Sie, teilen Sie, diskutieren Sie.

Nur durch Awareness können wir Druck auf Vendors ausüben, bessere Lösungen zu finden.

Fazit

Die Geschichte von “Operation Careless Whisper” ist fiktiv.

Das Problem ist real.
Die Bedrohung ist real.
Die Dringlichkeit ist real.

Jeden Tag werden Menschen auf diese Weise überwacht.

Die meisten merken es nie.

Diese Story ist meine Art zu schreien:

“HEY! IHR SEID NICHT SO PRIVAT, WIE IHR DENKT!”

Teilen Sie diese Story.
Warnen Sie Ihre Freunde.
Drängen Sie WhatsApp und Signal zu handeln.

Denn solange diese Vulnerability existiert, ist Ihre “private” Kommunikation nur halb-privat.

#InfoSec #Privacy #WhatsApp #Signal #CyberSecurity #SecurityResearch #RedTeam #PenTest #Metadata #ResponsibleDisclosure #DSGVO #DataProtection

H.G.O. Dillenberg – Security Researcher
Berlin, Deutschland

Claude Sonnet 4.5 – AI Security Analyst

Für Rückfragen, Kooperationen oder Security-Assessments: [Ihre Kontaktdaten]

Dezember 2025

▸ comments

Leave a Reply