Android-Sicherheit 2026: Millionen Geräte durch Hardware-Lücke gefährdet

Während Hersteller mit neuen Betriebssystemen und biometrischen Verfahren aufrüsten, nutzen Kriminelle verstärkt die Schwachstelle Mensch – und tiefgreifende Hardware-Fehler aus.

Raffinierte Täuschungsmanöver

Ein zentraler Angriffspunkt bleibt die Preisgabe von Zugangsdaten durch die Nutzer selbst. In Jakarta nahmen Sicherheitsbehörden Anfang Mai eine Gruppe von Hehlern fest. Die Täter lagerten hunderte gestohlene Smartphones und kontaktierten die Besitzer unter dem Vorwand, offizielle Support-Mitarbeiter zu sein.

Angesichts immer raffinierterer Täuschungsversuche ist ein fundiertes Verständnis der Apple-Fachbegriffe für iPhone-Nutzer unerlässlich. Sichern Sie sich dieses kostenlose Lexikon, das 53 wichtige Begriffe wie Apple-ID und iOS verständlich erklärt. Kostenloses iPhone-Lexikon jetzt anfordern

Ziel war es, iCloud-Passwörter zu ergaunern, um die Geräte für den Wiederverkauf zu entsperren. Um eine Ortung zu verhindern, wickelten die Beschuldigten die Mobiltelefone in Alufolie. Pro entsperrtem Smartphone erzielten sie Gewinne zwischen zwei und vier Millionen Indonesischen Rupien.

Parallel dazu beobachten Ermittler weltweit eine Zunahme des sogenannten „Digital Arrest“. In Indien verloren mehrere Personen hohe Geldbeträge, nachdem sie über Tage per Videoanruf von Tätern überwacht wurden, die sich als Behördenvertgester ausgaben.

Eine Betroffene aus Süd-Delhi wurde über zwei Wochen unter Druck gesetzt und zur Auflösung von Festgeldanlagen in Millionenhöhe genötigt. Die Täter nutzten Vorwürfe wie Terrorismusfinanzierung, um die Opfer in permanenter Angst zu halten.

In Taiwan warnte die Polizei vor einer neuen Masche: Opfer werden dazu verleitet, einen speziellen GSM-Code einzugeben. Die Tastenkombination „*21“ gefolgt von einer Rufnummer aktiviert eine sofortige Anrufumleitung. Kriminelle fangen so Bestätigungsanrufe von Banken ab und autorisieren unbemerkt Transaktionen. Ein Büroangestellter in Neu-Taipeh verlor auf diese Weise innerhalb von zwei Tagen Ersparnisse im Wert von mehreren Millionen Neuen Taiwan-Dollar.

Hardware unter Beschuss

Neben menschlichen Fehlfaktoren rücken technische Schwachstellen auf Hardware-Ebene in den Fokus. Kaspersky-Experten präsentierten auf der Black Hat Asia 2026 Details zu einer Sicherheitslücke im BootROM von Qualcomm-Chipsätzen. Die als CVE-2026-25262 identifizierte Schwachstelle betrifft unter anderem die Modelle MDM9x07, MSM8909 und SDX50.

Das besondere Risiko: Der Fehler liegt direkt in der festverdrahteten Start-Sequenz des Chips. Herkömmliche Software-Updates können ihn nicht beheben. Angreifer mit physischem Zugriff können ein betroffenes Gerät innerhalb weniger Minuten vollständig kompromittieren.

Qualcomm wurde bereits im März 2025 über den Fehler informiert und bestätigte diesen einen Monat später. Dennoch bleiben Millionen von Geräten potenziell verwundbar. Die indische Cybersicherheitsbehörde CERT-In weitete die Warnung auf eine breite Palette von Snapdragon-Prozessoren der 8er-, 7er-, 6er- und 4er-Serie aus.

Zusätzlich verschärft eine Welle neuer Malware die Situation. Sicherheitsforscher identifizierten vier neue Android-Banking-Trojaner namens RecruitRat, SaferRat, Astrinox und Massiv, die auf über 800 verschiedene Anwendungen abzielen. Die Spyware-Familie ClayRat wurde in mehr als 700 Varianten entdeckt.

Da Hardware-Lücken und neue Banking-Trojaner die Sicherheit Ihres Android-Geräts massiv bedrohen, sollten Sie jetzt aktiv werden. Dieser kostenlose Report zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Smartphone sofort wirksam gegen Hacker und Datenverlust absichern. 5 Schutzmaßnahmen für Android-Smartphones kostenlos entdecken

Besonders besorgniserregend: 28 betrügerische Apps namens „CallPhantom“ im Google Play Store. Sie versprachen Zugriff auf fremde Anrufprotokolle und Chat-Verläufe, sammelten aber in Wirklichkeit Nutzerdaten. Bis zu ihrer Entfernung wurden diese Apps über 7,3 Millionen Mal heruntergeladen.

Technologische Gegenwehr

Die Industrie reagiert mit einer Verschärfung der Sicherheitsarchitektur. Mit der für Juni 2026 erwarteten stabilen Version von Android 17 führt Google weitreichende Änderungen bei den Standard-Privatsphäre-Einstellungen ein.

Eine zentrale Neuerung ist die session-basierte Kontaktauswahl. Sie ersetzt den bisherigen pauschalen Lesezugriff von Apps auf das gesamte Adressbuch. Zudem soll eine neue Berechtigung den Zugriff auf lokale Netzwerke blockieren, um das sogenannte Netzwerk-Fingerprinting durch Werbe-Apps zu erschweren.

Eine weitere Sicherheitsmaßnahme betrifft den Schutz von Einmalpasswörtern (OTP). Das System erzwingt künftig eine dreistündige Verzögerung für den Lesezugriff auf SMS-OTPs durch Drittanbieter-Apps. So soll verhindert werden, dass Malware in Echtzeit Authentifizierungscodes abfängt.

Branchenexperten wie John Bennett von Dashlane plädieren zudem verstärkt für den Abschied vom klassischen Passwort. Er empfiehlt Passkeys als sicherere Alternative. Da sie auf kryptografischen Schlüsseln basieren, die lokal gespeichert und durch Biometrie geschützt sind, können sie nicht durch Phishing gestohlen werden.

Sicherheitsranking 2025: Google überholt Apple

Im aktuellen Sicherheitsvergleich mobiler Endgeräte gab es eine Verschiebung an der Spitze. Laut dem Omdia-Report „2025 Mobile Device Security Benchmark“ wurde das Google Pixel 10 Pro als sicherstes Smartphone bewertet. Es erreichte in zwölf Sicherheitskriterien die höchsten Punktzahlen.

Auf dem geteilten zweiten Platz folgen das Samsung Galaxy S25 und das Motorola Edge 60 Pro. Überraschend: Das Apple iPhone 17 Pro Max landete lediglich auf Platz fünf. Die Experten stellten fest, dass das Apple-Flaggschiff insbesondere beim integrierten Schutz vor Phishing-Versuchen Schwächen aufweist. Das Schlusslicht unter den führenden Herstellern bildete das Xiaomi 15.

Doch die besten Sicherheitsfeatures nützen wenig, wenn sie nicht ankommen. Schätzungen zufolge erhalten rund 40 Prozent aller weltweit genutzten Android-Geräte keine regelmäßigen Sicherheits-Patches mehr. Das macht sie zu leichten Zielen für Angriffe, die bekannte Lücken wie die BootROM-Schwachstellen ausnutzen.

Wirtschaftlicher Kontext

Der Schutz persönlicher Daten wird für Unternehmen zunehmend zu einem finanziellen Risiko. Ein Beispiel: die Rekordstrafe gegen General Motors in Höhe von 12,75 Millionen US-Dollar. Dem Automobilhersteller wurde vorgeworfen, Fahrerdaten von Hunderttausenden Kunden ohne ausreichende Transparenz an Datenmakler verkauft zu haben.

Es ist die bisher höchste Strafe unter dem California Consumer Privacy Act (CCPA). GM wurde zudem untersagt, für die nächsten fünf Jahre Daten an entsprechende Auskunfteien weiterzugeben.

Auch Google sieht sich mit Kritik an den Standardeinstellungen seiner KI-Integration Gemini konfrontiert. Experten warnen vor „Dark Patterns“: Die Deaktivierung bestimmter KI-Funktionen schränkt gleichzeitig nützliche Standard-Features wie die Postfach-Sortierung in Gmail ein.

Ausblick

Die Sicherheitslandschaft für das restliche Jahr 2026 wird maßgeblich von der Geschwindigkeit geprägt sein, mit der Nutzer und Unternehmen auf moderne Authentifizierungsverfahren umsteigen. Google hat bereits angekündigt, die Privacy Sandbox Beta auf Android-13-Geräte auszuweiten.

Apple plant für das kommende Update auf iOS 26.5 die Einführung einer Ende-zu-Ende-Verschlüsselung für den Messaging-Standard RCS. Die tatsächliche Sicherheit wird hierbei stark von der Unterstützung der Mobilfunkanbieter abhängen.

Für Verbraucher bleibt die installation der monatlichen Sicherheitsupdates die wichtigste Verteidigungslinie. Google hat das Budget für sein Bug-Bounty-Programm bereits auf 1,5 Millionen US-Dollar erhöht, um Anreize für die Entdeckung kritischer Lücken zu schaffen.

Doch die aktuelle Krise zeigt: Technologische Hürden allein reichen nicht aus, solange Kriminelle durch Social Engineering direkten Zugriff auf die Identität der Nutzer erlangen können. Die Kombination aus Hardware-Härtung, Passkeys und verstärkter Aufklärung wird entscheidend sein.

de | wissenschaft | 69299385 |