Google warnt vor kritischer Android-Lücke – Zero-Click-Angriff möglich

Die als CVE-2026-0073 klassifizierte Zero-Click-Lücke erlaubt Angreifern die Ausführung von Schadcode – ohne dass der Nutzer eingreifen muss. Betroffen sind Android 14, 15 sowie die Entwicklungszweige von Android 16.

Die Schwachstelle steckt im Android Debug Bridge Daemon (adbd), einer Kernkomponente des Betriebssystems. Ein Logikfehler in der Funktion adbd_tls_verify_cert umgeht die gegenseitige Authentifizierung bei drahtlosen ADB-Verbindungen. Angreifer im selben Netzwerk können so Shell-Zugriff erlangen, ohne dass der Besitzer zustimmen muss.

Angesichts kritischer Zero-Click-Lücken, die Angreifern Shell-Zugriff ermöglichen können, ist eine präventive Absicherung des Mobilgeräts unverzichtbar. Der kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Smartphone gegen Cyberkriminalität schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Google empfiehlt die installation des Patch-Levels vom 1. Mai 2026. Für Android 13 gibt es keinen Schutz mehr – der Support endete im März 2026. Sicherheitsexperten raten, die Wireless-Debugging-Funktion zu deaktivieren, wenn sie nicht benötigt wird. Bisher gibt es keine bestätigten Angriffe im Freiland.

Meta und Apple schließen eigene Sicherheitslücken

Auch andere Tech-Giganten reagieren auf die zunehmende Bedrohungslage. Meta veröffentlichte Patches für zwei WhatsApp-Lücken. CVE-2026-23866 betrifft iOS und Android und resultiert aus fehlerhafter Validierung KI-generierter Nachrichten für Instagram Reels. CVE-2026-23863 erlaubt in der Windows-Version das Spoofing von Dateitypen durch NUL-Bytes im Dateinamen.

Apple brachte am 5. Mai 2026 iOS 18.7.9 für ältere Modelle wie das iPhone XR und XS. Das Update schließt die „DarkSword“-Exploit-Kette – sechs JavaScript-basierte Zero-Day-Lücken, die von staatlichen Akteuren genutzt wurden.

Gleichzeitig führt Apple Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten zwischen iPhone und Android ein. Ein Schloss-Symbol signalisiert künftig verschlüsselte Konversationen.

CloudZ-Trojaner missbraucht Microsoft Phone Link

Sicherheitsforscher von Cisco Talos warnen vor dem CloudZ-Trojaner. Seit Januar 2026 aktiv, nutzt die Schadsoftware ein Plugin namens „Pheno“, um die Microsoft Phone Link-App auf Windows-Rechnern zu missbrauchen. Der Trojaner greift auf die lokale SQLite-Datenbank zu und stiehlt SMS, Einmalpasswörter und Zugangsdaten – ohne das Smartphone zu infizieren.

Die nordkoreanische Gruppe ScarCruft (APT37) kompromittierte eine Gaming-Plattform, um Android-Nutzer mit der Backdoor „BirdCall“ zu infizieren. Die Malware sammelt Kontakte, SMS und Dokumente und fertigt zwischen 19 und 22 Uhr Audioaufnahmen und Screenshots an.

Im Google Play Store wurde zudem die App „Cerberus Anti-theft“ identifiziert, die als Stalkerware agiert und über 40 Fernbefehle ermöglicht.

Systemische Defizite und höhere Kopfgelder

Ein Bericht des US-Heimatschutzministeriums zeigt die administrativen Herausforderungen: 76 Prozent der auf Dienstgeräten installierten Apps wurden als riskant eingestuft. 19 Prozent der Geräte liefen mit veralteten Betriebssystemen.

Microsoft meldete für das erste Quartal 2026 insgesamt 8,3 Milliarden Phishing-Versuche per E-Mail. Besonders QR-Code-Phishing (Quishing) nahm um 146 Prozent zu. Betrüger nutzen gefälschte SMS von Verkehrsbehörden oder Gerichten, um Zahlungsdaten zu stehlen.

Während Apple komplexe Exploit-Ketten schließt, stellt die Fachsprache rund um Sicherheitsupdates viele Anwender vor Rätsel. Dieses Gratis-Lexikon hilft Ihnen, Begriffe wie iOS, AirDrop oder Lightning endlich sicher zu verstehen. Apple-Fachsprache in 10 Minuten verstehen

Google hat seine Bug-Bounty-Programme massiv ausgeweitet. Für eine Zero-Click-Exploit-Kette gegen den Pixel-Sicherheitschip Titan M2 zahlt das Unternehmen bis zu 1,5 Millionen US-Dollar. 2025 schüttete Google insgesamt 17,1 Millionen US-Dollar an Sicherheitsforscher aus.

Hardware-Innovationen als Zukunftsstrategie

Samsung Display präsentierte auf der Display Week 2026 das „Privacy Display“. Die „Flex Magic Pixel“-Technologie verhindert seitliche Einblicke auf sensible Daten. Ein Sensor-OLED-Display kann Gesundheitsdaten wie Herzfrequenz und Blutdruck direkt über den Bildschirm erfassen.

Harvard stellte mit „Keyring“ eine Open-Source-Identity-Wallet vor. Sie speichert biometrische Daten lokal auf dem Smartphone und erlaubt selektive Freigabe – etwa zur Altersverifikation ohne Preisgabe des Geburtsdatums.

Metalenz arbeitet an Metasurface-Optiken für Gesichtserkennung unter dem Display. Die Technologie soll Notches überflüssig machen. Sicherheitsfunktionen wandern zunehmend direkt in die Hardware-Architektur.

de | wissenschaft | 69283093 |