Qualcomm-Lücke gefährdet Millionen Smartphones

Die Lücke CVE-2026-25262 sitzt im BootROM – und ist nicht patchbar.

Betroffen sind die Modelle MDM9x07, MSM8909 und SDX50, die in Millionen Smartphones, Tablets und IoT-Geräten stecken. Bei physischem Zugriff können Angreifer ein Gerät innerhalb weniger Minuten vollständig kompromittieren. Der Fehler liegt im nur lesbaren Speicher des Chips, herkömmliche Software-Updates helfen nicht.

Angesichts nicht patchbarer Sicherheitslücken in Millionen von Chipsätzen wird der Schutz der eigenen Daten auf dem Android-Gerät zur Überlebensfrage. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Smartphone effektiv gegen Hacker und Datenmissbrauch absichern. Gratis-PDF: 5 Schutzmaßnahmen für Ihr Android-Smartphone sichern

Qualcomm wusste seit Frühjahr 2025 Bescheid und bestätigte die Funde. Parallel warnte die indische Behörde CERT-In vor weiteren Hochrisiko-Lücken in der Snapdragon-Serie – von der 4er- bis zur 8er-Reihe inklusive Snapdragon 888. Diese Fehler ermöglichen Fernausführung von Schadcode, Datendiebstahl oder die vollständige Geräteübernahme.

Das Problem: Rund 40 Prozent aller aktiven Android-Geräte erhalten keine regelmäßigen Patches mehr. Sie bleiben leichte Ziele.

Millionen Downloads für Abzock-Apps

Neben Hardware-Lücken setzen Kriminelle auf den App-Store. Die Kampagne „CallPhantom“ umfasste 28 Apps, die über 7,3 Millionen Mal heruntergeladen wurden. Sie versprachen Zugriff auf fremde Anrufprotokolle, SMS oder WhatsApp-Verläufe – lieferten aber nur wertlose Zufallsdaten. Dafür kassierten die Betreiber bis zu 80 US-dollar pro Nutzer. Google entfernte die Apps Ende 2025.

Banking-Trojaner werden ebenfalls professioneller. Neue Familien wie RecruitRat, SaferRat, Astrinox und Massiv zielen gezielt auf Finanz-Apps und Krypto-Wallets. Der in Brasilien entdeckte TCLBANKER greift über 50 Banken und Fintechs an. Die Malware blendet gefälschte Anmeldefenster über echte Banking-Apps ein.

Die SilverFox-Gruppe setzt seit Ende 2025 auf Phishing-Mails im Namen von Steuerbehörden – mit Hintertüren für Unternehmen in Indien, Russland und Indonesien.

Wenn Betrüger die Anrufe umleiten

Die Methoden werden kreativer. In Taiwan verlor ein Opfer über 3,6 Millionen NT-Dollar, nachdem es einen Code zur Anrufweiterleitung (*21) eingegeben hatte. Die Täter gaben sich als Behördenvertreter aus und brachten den Mann dazu, eine manipulierte App zu installieren. So autorisierten sie Kreditkartentransaktionen und verkauften sogar Aktien des Opfers.

In Indien häufen sich Fälle von „Digital Arrest“: Kriminelle geben sich als Polizisten aus und setzen Opfer über Videocalls unter Druck. Ein pensionierter Lehrer verlor auf diese Weise 8,2 Millionen Rupien.

Selbst Hardware-Diebstahl wird professioneller. In Jakarta hob die Polizei eine Bande aus, die über 225 gestohlene Handys hortete. Die Hehler kontaktierten die Vorbesitzer als angeblicher Support, ergaunerten Cloud-Passwörter und wickelten die Geräte in Alufolie, um die Ortung zu verhindern.

Android 17 bringt neue Schutzmechanismen

Google reagiert. Die stabile Version von Android 17 soll im Juni 2026 erscheinen – mit mehreren Änderungen an den Privatsphäre-Einstellungen. Apps bekommen keinen pauschalen Zugriff mehr auf das gesamte Adressbuch. Stattdessen wählen Nutzer gezielt einzelne Kontakte aus. Eine neue Berechtigung verhindert das Scannen des lokalen Netzwerks ohne Erlaubnis. Beim Zugriff auf SMS-Einmalpasswörter gibt es eine zeitliche Verzögerung, damit Schadsoftware die Codes nicht in Echtzeit abgreift.

Während neue Betriebssystem-Versionen den Schutz verbessern, bleiben veraltete Geräte oft jahrelang ein Sicherheitsrisiko. Erfahren Sie in diesem kostenlosen Report, wie Sie durch das richtige Management von Updates Sicherheitslücken schließen und Ihr Android-Gerät dauerhaft vor Malware schützen. Kostenlosen PDF-Ratgeber zu Android-Updates herunterladen

Eine Studie von Omdia zeigt: Das Google Pixel 10 Pro gilt derzeit als sicherstes Smartphone, gefolgt vom Samsung Galaxy S25 und Motorola Edge 60 Pro. Das iPhone 17 Pro Max landete auf Platz fünf. Der Schutz vor Phishing bleibt bei fast allen Modellen eine Schwachstelle.

Google führt zudem Binary Transparency ein – ein kryptografisches Register, das sicherstellt, dass Produktions-Apps nicht unbemerkt manipuliert wurden.

Regulierung greift durch

In Kalifornien wurde General Motors zu einer Rekordstrafe von 12,75 Millionen US-Dollar verurteilt. Der Autobauer hatte jahrelang Fahrerdaten ohne ausreichende Einwilligung an Datenmakler verkauft – ein Verstoß gegen den California Consumer Privacy Act.

Für Diskussionen sorgt Meta: Der Konzern entfernt die Ende-zu-Ende-Verschlüsselung bei Instagram-Direktnachrichten. Das Unternehmen priorisiert damit Moderationsmöglichkeiten über den absoluten Schutz der Privatsphäre.

Hardware-Sicherheit wird zum Schlüsselproblem

Die BootROM-Lücke CVE-2026-25262 zeigt: Software-Updates allein reichen nicht mehr. Wenn die Hardware-Basis kompromittiert ist, verlieren darauf aufsetzende Sicherheitslayer ihre Wirkung. Hardware-basierte Vertrauensanker (Root of Trust) müssen bereits im Fertigungsprozess abgesichert werden.

Der Fokus der Angreifer verschiebt sich zunehmend auf den Faktor Mensch. Die 7,3 Millionen Downloads von CallPhantom-Apps belegen: Technische Schutzmaßnahmen im App-Store lassen sich durch gezieltes Marketing umgehen. Die Professionalisierung der Hehlerbanden zeigt, dass digitaler Schutz eine gesamtgesellschaftliche Aufgabe bleibt.

KI-gestützte Abwehr und Passkeys

Für den weiteren Jahresverlauf 2026 ist mit KI-basierten Sicherheitsfunktionen in mobilen Betriebssystemen zu rechnen. Google und Samsung investieren massiv in On-Device-KI, die Bedrohungen lokal und ohne Cloud-Anbindung analysiert. Der Druck auf Chiphersteller steigt, sicherere Hardware-Architekturen zu entwickeln.

Verbraucher müssen künftig stärker auf Multi-Faktor-Authentifizierung und Passkeys setzen. Laut FIDO Alliance sind bereits über fünf Milliarden Passkeys weltweit im Einsatz. Android 17 gilt als wichtiger Meilenstein für den Privatsphäre-Schutz – doch der Erfolg hängt davon ab, wie schnell die Hersteller die Updates verteilen. Die Fragmentierung bleibt das größte Hindernis für eine durchgängig sichere mobile Infrastruktur.

de | wissenschaft | 69299327 |