Android-Sicherheit: Google schließt 124 Lücken, eine wird aktiv angegriffen

Insgesamt schließen die Patches mehr als 100 Schwachstellen. Besonders kritisch: Eine Lücke wird bereits aktiv angegriffen.

Kritischer Integer-Overflow betrifft drei Android-Versionen

Im Fokus steht die Schwachstelle CVE-2025-48595. Es handelt sich um einen sogenannten Integer-Overflow, der die Android-Versionen 14, 15 und 16 betrifft. Die US-Sicherheitsbehörde CISA hat eine Frist zur Behebung bis zum 5. Juni 2026 gesetzt.

Anzeige: Die aktive Zero-Day-Lücke in Android 14-16 betrifft auch Ihr Gerät. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie sich in 3 Schritten schützen – inklusive Checkliste und KI-Phishing-Erkennung. Jetzt kostenlosen Sicherheits-Leitfaden anfordern

Google hat insgesamt 124 Schwachstellen im Android-System behoben. Parallel dazu liefert Samsung ein Update für seine Galaxy-Geräte, das 45 Lücken schließt. Davon entfallen 33 Korrekturen auf das Android-Basissystem, zwölf betreffen Samsung-eigene Dienste wie den Theme Manager oder Cloud-Schnittstellen. Das Update ist Teil der Beta-Version von One UI 9.0 für das Galaxy S26.

Microsoft-Apps mit offenem Debug-Flag

Sicherheitsforscher von Enclave entdeckten eine Schwachstelle in mehreren Microsoft-365-Apps. Unter dem Namen „FlagLeft“ wurde bekannt, dass in Word, Excel, PowerPoint und Copilot ein Debug-Flag aktiviert war. Der Fehler im gemeinsam genutzten Microsoft SDK ermöglichte es Drittanwendungen, Anmeldetokens zu stehlen und private E-Mails mitzulesen. Microsoft hat das Problem inzwischen behoben.

Auch die Entwicklerumgebung npm ist betroffen. Microsoft warnt vor Schadsoftware, die Krypto-Schlüssel von infizierten Systemen stiehlt. Die Malware „IronWorm“ wurde in 36 npm-Paketen entdeckt – ein weiteres Zeichen für anhaltende Gefahren in der digitalen Lieferkette.

Phishing-Welle rund um GTA VI

Sicherheitsanalysten von NordVPN warnen vor einer großangelegten Phishing-Kampagne. Im Zusammenhang mit dem für November 2026 erwarteten Videospiel „GTA VI“ wurden in der zweiten Maihälfte wöchentlich hunderte Phishing-Seiten und gefälschte Android-Apps identifiziert. Sie versprechen eine angebliche Beta-Version des Spiels – Ziel ist der Diebstahl von Nutzerkonten und der Abschluss betrügerischer Abonnements.

Google reagiert auf die steigende Gefahr durch KI-Kriminalität. Im Juni 2026 führt der Konzern die Funktion „Fake Call Detection“ ein. Das System warnt Android-Nutzer in Echtzeit vor Anrufen, bei denen Stimmen oder Telefonnummern mittels KI gefälscht wurden. Die Verifikation erfolgt über einen digitalen Abgleich per RCS-Verbindung. Hintergrund: KI-gestützte Angriffe haben sich im ersten Halbjahr 2026 laut Branchenberichten um das 37-Fache erhöht.

Anzeige: KI-gestützte Anruf-Fälschung hat sich um das 37-Fache erhöht. Googles neue „Fake Call Detection“ hilft – aber reicht das? Unser Leitfaden zeigt, wie Sie Phishing-Anrufe erkennen und sich zusätzlich absichern. KI-Phishing-Schutz jetzt sichern

Viele Nutzer überschätzen ihre Passwortsicherheit

Eine YouGov-Umfrage im Auftrag des Verbandes eco zeigt erhebliche Lücken im Sicherheitsverhalten. 74 Prozent der Befragten halten ihre Passwörter für sicher – doch nur 32 Prozent nutzen moderne Passkeys. Gerade einmal ein Viertel verwendet eine Zwei-Faktor-Authentifizierung (2FA). Experten des Hasso-Plattner-Instituts betonen: Klassische Passwörter bleiben relevant, müssen aber durch zusätzliche Maßnahmen wie Passwort-Manager geschützt werden.

Vorsicht ist auch bei automatisierten Funktionen geboten: Google Chrome lädt ohne Nutzerabfrage ein rund 4 Gigabyte großes KI-Modell für Gemini Nano auf kompatible Geräte. Experten kritisieren das hohe Datenvolumen und die fehlende Transparenz beim Download-Prozess.

de | wissenschaft | 69486782 |