WhatsApp schließt zwei kritische Sicherheitslücken

Der Messenger-Dienst hat Schwachstellen geschlossen, die Angreifern die Manipulation von Dateianhängen und das Auslösen schädlicher URL-Anfragen ermöglichen. Bisher gibt es keine Hinweise auf eine aktive Ausnutzung.

Banking, WhatsApp und sensible Daten – auf keinem Gerät speichern wir so viel Privates wie auf dem Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern und Viren absichern. 5 Schutzmaßnahmen jetzt entdecken

Angreifer konnten Dateitypen verschleiern

Die erste Lücke (CVE-2026-23863) betrifft die Windows-Version von WhatsApp vor 2.3000.1032164386.258709. Angreifer nutzten eine Schwäche bei der Verarbeitung von Dateinamen mit sogenannten NUL-Bytes aus. Dadurch ließ sich der tatsächliche Dateityp eines Anhangs verschleiern – eine schädliche .exe-Datei erschien als harmloses PDF.

Das Risiko für Social-Engineering-Angriffe ist erheblich. Im geschäftlichen und privaten Alltag tauschen Nutzer täglich Dokumente über den Messenger aus.

Instagram-Integration als Einfallstor

Die zweite Schwachstelle (CVE-2026-23866) betrifft WhatsApp für Android und iOS. Sie hängt mit der Integration von Instagram-Inhalten zusammen. Konkret fehlte eine vollständige Validierung von KI-gestützten Antwortnachrichten für Instagram Reels.

Durch manipulierte Nachrichtenstrukturen konnten Angreifer beliebige URL-Schemata auf dem Empfängergerät auslösen. Das öffnet die Tür für Weiterleitungen auf schädliche Webseiten oder das Starten von Funktionen in anderen Apps. Sicherheitsanalysten sehen solche Lücken oft als Bausteine für komplexere Angriffsketten.

Android-Systemupdate schließt weitere Lücke

Google veröffentlichte Anfang Mai ein Sicherheitsupdate, das eine kritische Lücke im Android Debug Bridge Daemon (adbd) schließt. Die Schwachstelle (CVE-2026-0073) ermöglicht Remote Code Execution ohne Nutzerinteraktion. Betroffen sind Android 14, 15 und 16.

Besonders brisant: Der Angriff erfolgt über das lokale Netzwerk. In öffentlichen WLAN-Umgebungen steigt das Gefahrenpotenzial erheblich.

Trojaner kapert Smartphone-Kopplung

Parallel beobachtet Cisco Talos eine Zunahme von Schadsoftware, die legitime Betriebssystemfunktionen missbraucht. Der CloudZ-Remote-Access-Trojaner (RAT) nutzt ein Plugin namens „Pheno“, um die Microsoft Phone Link App unter Windows 10 und 11 zu überwachen.

Statt das Smartphone direkt anzugreifen, liest der Trojaner die auf dem PC zwischengespeicherten Datenbanken aus. So gelangen Angreifer an SMS, Einmalpasswörter für die Zwei-Faktor-Authentifizierung und sensible Anmeldedaten. Die Infektion erfolgt meist über gefälschte Software-Updates.

Milliarden-Belohnungen für Sicherheitsforscher

Die Tech-Konzerne reagieren mit zweigleisiger Strategie: Sie erhöhen die finanziellen Anreize für Sicherheitsforscher und verschärfen technische Barrieren. Google zahlt für den Nachweis eines Zero-Click-Exploits gegen den Titan-M2-Sicherheitschip in Pixel-Geräten bis zu 1,5 Millionen US-Dollar.

Auch Meta nutzt sein Bug-Bounty-Programm intensiv, um Schwachstellen frühzeitig zu schließen. Gleichzeitig führt Google mit dem Mai-Update 2026 für die Pixel-10-Serie einen Anti-Rollback-Mechanismus ein. Entwickler kritisieren, dass fehlerhafte manuelle Updates nun schneller zu unbrauchbaren Geräten führen.

Apple kritisiert EU-Regulierung

In Europa sieht sich Apple mit regulatorischen Herausforderungen konfrontiert. Vertreter des Unternehmens kritisieren den Digital Markets Act (DMA) als potenzielles Sicherheitsrisiko. Die geforderte Interoperabilität mit Drittanbietern könnte sensible Daten wie WLAN-Zugangsdaten unzureichend schützen.

Ende der klassischen Dateisicherheit

Die jüngsten Ereignisse zeigen: Die Unterscheidung zwischen „sicheren“ und „unsicheren“ Dateitypen verschwindet zunehmend. Reicht ein einfacher Link zu einem Video, um komplexe Systemfunktionen zu manipulieren, müssen Sicherheitsstrategien neu bewertet werden.

Die Integration von Diensten über App-Grenzen hinweg – wie WhatsApp und Instagram oder Smartphone und PC via Phone Link – schafft neue Angriffsflächen. Branchenexperten empfehlen eine konsequente Netzwerksegmentierung und den Verzicht auf SMS-basierte Zwei-Faktor-Authentifizierung.

Ein veraltetes System oder ignorierte Sicherheitswarnungen machen Ihr Smartphone zur leichten Beute für Cyberkriminelle. Dieser kostenlose PDF-Ratgeber erklärt, wie Sie mit den richtigen Updates Datenverlust und Malware dauerhaft verhindern. 5 Schritte für ein sicheres Android-Smartphone

WhatsApp stellt Support für alte Betriebssysteme ein

Ab dem 8. September 2026 unterstützt WhatsApp keine Geräte mehr mit Android unterhalb von Version 6 sowie iPhones ohne mindestens iOS 15.1. Betroffen sind die Modelle der iPhone 5- und iPhone 6-Serie. Aus Sicherheitssicht ist die Maßnahme konsequent – veraltete Systeme fehlt oft der Schutz gegen moderne Exploits.

Apple treibt parallel die Verschlüsselung in der plattformübergreifenden Kommunikation voran. Mit iOS 26.5, erwartet für Mitte Mai 2026, geht die Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten zwischen iPhones und Android-Geräten in eine breitere Beta-Phase. Nutzer erkennen das künftig an einem Vorhängeschloss-Symbol in ihren Chat-Fenstern.

de | wissenschaft | 69284111 |