Kritische, Android-Lücke

Kritische Android-Lücke umgeht Sperrbildschirm in 45 Sekunden

13.03.2026 - 00:00:15 | boerse-global.de

Eine kritische Hardware-Schwachstelle in MediaTek-Prozessoren ermöglicht es, den Sperrbildschirm in unter einer Minute zu umgehen und verschlüsselte Daten auszulesen. Ein Patch ist verfügbar, muss aber von Herstellern verteilt werden.

Kritische Android-Lücke umgeht Sperrbildschirm in 45 Sekunden - Foto: über boerse-global.de
Kritische Android-Lücke umgeht Sperrbildschirm in 45 Sekunden - Foto: über boerse-global.de

Eine neue Sicherheitslücke in Millionen Android-Smartphones ermöglicht es Angreifern, den Sperrbildschirm in unter einer Minute zu knacken. Die Schwachstelle CVE-2026-20435 steckt tief in der Hardware-Architektur bestimmter MediaTek-Prozessoren. Betroffen ist laut Schätzungen etwa jedes vierte Android-Gerät weltweit.

So funktioniert der 45-Sekunden-Angriff

Sicherheitsforscher des Ledger Donjon-Teams demonstrierten den Ablauf. Mit physischem Zugriff, einem Laptop und einem USB-Kabel umgingen sie am Beispiel eines CMF Phone 1 in nur 45 Sekunden sämtliche Schutzmechanismen. Der Exploit greift bereits vor dem Start des Betriebssystems an.

Anzeige

Angesichts solcher Hardware-Lücken ist ein zusätzlicher Schutz Ihrer persönlichen Daten auf dem Smartphone unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie WhatsApp, Banking und sensible Apps mit einfachen Schritten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Dadurch werden Android-Sicherheitsrichtlinien, der Sperrbildschirm und Einstellungen zum USB-Debugging wirkungslos. Die Angreifer konnten in der Demo die Geräte-PIN wiederherstellen und den gesamten Speicher entschlüsseln. Alarmierend: Sie extrahierten sogar Seed-Phrasen aus Software-Wallets für Kryptowährungen.

Das Kernproblem: Der digitale Tresor versagt

Der Fehler liegt in der Trusted Execution Environment (TEE) von Trustonic. Diese abgeschirmte Umgebung im Prozessor soll eigentlich kryptografische Schlüssel und biometrische Daten besonders sicher verwahren – wie ein digitaler Tresor. Die Lücke CVE-2026-20435 ermöglicht Angreifern jedoch direkten Zugriff auf diese tiefste Sicherheitsebene.

Wenn dieser Hardware-Tresor fällt, bricht der gesamte Schutz zusammen. Das grundlegende Versprechen moderner Smartphones – dass Daten selbst bei Verlust durch Verschlüsselung geschützt sind – ist für betroffene Geräte hinfällig.

MediaTek-Chips machen Millionen Geräte verwundbar

Die Lücke betrifft System-on-a-Chip-Lösungen (SoCs) von MediaTek, die die fehlerhafte Trustonic-TEE verwenden. Diese Chips sind vor allem in Smartphones des unteren und mittleren Preissegments verbaut. Gerade bei diesen Budget-Modellen dauert die Auslieferung von Sicherheitsupdates oft besonders lange.

Die Gefahr besteht ausschließlich bei physischem Verlust des Geräts. Ein Fernzugriff über das Internet ist nicht möglich. Nutzer können in Hardware-Datenbanken wie GSMArena prüfen, ob ihr Smartphone einen betroffenen MediaTek-Prozessor hat.

Der mühsame Weg zum Patch

MediaTek hat nach einer verantwortungsvollen Offenlegung durch die Forscher einen Firmware-Patch entwickelt. Dieser ist im Android-Sicherheitsbulletin für März 2026 gelistet. Jetzt liegt der Ball bei den Smartphone-Herstellern.

Sie müssen den Patch in ihre eigenen Updates integrieren und ausliefern. Hier zeigt sich das bekannte Problem der Android-Patch-Lücke: Während Premium-Hersteller schnell reagieren, warten Nutzer günstigerer Modelle oft monatelang. Geräte am Ende ihres Support-Zyklus erhalten den Schutz wahrscheinlich nie.

Was bedeutet das für die Sicherheitsarchitektur?

Der Vorfall entfacht die Debatte über hardwarebasierte Sicherheit neu. Wenn die dedizierte Festung – die TEE – fällt, ist kein Schutz mehr möglich. Er erinnert an frühere Lücken, geht aber viel tiefer.

Andere Schwachstellen wie CVE-2022-20465 bei Google Pixel nutzten Logikfehler im Betriebssystem. CVE-2026-20435 hebtelt die Verschlüsselung aus, bevor Android überhaupt vollständig geladen ist. Für Unternehmen wird der physische Gerätezugriff nun zu einem noch kritischeren Risiko.

Anzeige

Da herkömmliche Sicherheits-Updates oft auf sich warten lassen, sollten Nutzer selbst aktiv werden, um ihre Privatsphäre zu wahren. Erfahren Sie in diesem kostenlosen Sicherheitspaket, welche häufig unterschätzten Lücken Sie sofort schließen können. Kostenlosen Android-Sicherheits-Guide anfordern

Was können Nutzer jetzt tun?

Bis zum Update-Eintreffen ist der beste Schutz, das Gerät nicht aus den Augen zu lassen. Der Angriff erfordert zwingend physischen Zugriff und eine Kabelverbindung.

Experten raten, regelmäßig in den Systemeinstellungen nach verfügbaren Updates zu suchen und sie sofort zu installieren. Nutzer von nicht mehr unterstützten Geräten mit hochsensiblen Daten oder Kryptowährungen sollten einen Wechsel in Erwägung ziehen. Der Wettlauf zwischen Sicherheitsforschern und Angreifern geht in eine neue Runde.

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.
boerse | 68664970 |