Sicherheitsforscher haben eine schwerwiegende Schwachstelle in Android 16 entdeckt. Sie erlaubt bösartigen Apps, den VPN-Schutz zu umgehen – doch Google will nichts dagegen tun.
Der Exploit wurde Mitte Mai 2026 von einem Forscher namens Yusef öffentlich gemacht. Die Lücke ermöglicht es manipulierten Apps, den verschlüsselten VPN-Tunnel zu verlassen und Daten direkt über die normale Netzwerkschnittstelle zu versenden. Damit wird die echte IP-Adresse des Nutzers sichtbar – ein Albtraum für alle, die auf anonyme Kommunikation angewiesen sind. Das Problem: Apple zeigt mit iOS ähnliche Schwächen, doch der Druck auf Google wächst.
Angesichts kritischer Sicherheitslücken im Betriebssystem ist der Schutz privater Daten auf dem Smartphone wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
„Won’t Fix“ – Google verweigert den Patch
Das Kernproblem liegt in der Architektur von Android 16. Normalerweise kapselt ein VPN den gesamten Datenverkehr ein. Doch die neue Lücke erlaubt einer App, Daten an der Verschlüsselung vorbeizuschleusen. Für sensible Berufsgruppen wie Journalisten oder Regierungsmitarbeiter bedeutet das: Standort und Identität könnten offengelegt werden.
Googles Entscheidung, keinen Patch zu liefern, stößt in der Sicherheitsszene auf scharfe Kritik. Der Konzern argumentiert, der Angriffsmechanismus verstoße nicht gegen die Sicherheitsgrenzen von Android 16. Wer absolute Tunnel-Integrität braucht, dem bleibt nur der Griff zu speziellen Betriebssystemen wie GrapheneOS oder manuelle Anpassungen der DeviceConfig-Einstellungen.
Hinzu kommt: Sicherheitsexperten warnen seit Tagen vor den Gefahren von Berechtigungen für Accessibility-Dienste und Overlay-Funktionen. Diese können genutzt werden, um Tastatureingaben zu protokollieren oder gefälschte Login-Bildschirme einzublenden – besonders gefährlich, wenn der VPN-Schutz ohnehin ausgehebelt ist.
Mobile Cyberkriminalität: 442 Milliarden Euro Schaden erwartet
Die Diskussion um Android fällt in eine Zeit explodierender Schäden. Im ersten Quartal 2026 ist „Quishing“ – Phishing über manipulierte QR-Codes – um 150 Prozent auf 18 Millionen Fälle weltweit gestiegen. Gleichzeitig kursieren 16 Milliarden gestohlene Zugangsdaten in den Datenbanken des Darknets.
Auch Deutschland ist betroffen. Die Opferrate bei mobiler Cyberkriminalität stieg von sieben auf elf Prozent. Treiber sind ausgefeilte Methoden wie der Kazuar-Botnetz, der dem russischen Akteur Secret Blizzard zugeschrieben wird. Die Schadsoftware hat sich zu einem modularen Peer-to-Peer-System entwickelt, das gezielt diplomatische und staatliche Einrichtungen in Europa und Zentralasien angreift.
Die Dimension der Bedrohung zeigt auch der Shai-Hulud-Angriff auf OpenAI. Im Mai 2026 wurden zwei Mitarbeitergeräte kompromittiert, interne Zugangsdaten und Code-Signatur-Zertifikate gestohlen. Kundendaten blieben zwar unberührt, doch der Vorfall belegt: Selbst Hightech-Unternehmen sind verwundbar.
Android 17: KI gegen Betrug
Google reagiert mit neuen Funktionen für Android 17, das Mitte Mai 2026 angekündigt wurde. Der Fokus liegt auf künstlicher Intelligenz zur Echtzeit-Erkennung von Bedrohungen. Die wichtigsten Neuerungen:
- Verifizierte Finanzanrufe: Ein System gegen Caller-ID-Spoofing, das jährlich Schäden von fast einer Milliarde Euro verursacht.
- Verbesserter OTP-Schutz: Einmal-Passwörter werden für drei Stunden vor Drittanbieter-Apps versteckt.
- Diebstahlschutz: Biometrische Verifikation und PIN-Eingabelimits sollen unbefugten Zugriff verhindern.
- OS-Überprüfung: Ein neues Tool für Pixel-Geräte prüft Bootloader-Integrität und Betriebssystem-Echtheit über ein öffentliches Transparenz-Register.
Während neue Betriebssystem-Versionen oft lange auf sich warten lassen, bleibt ein veraltetes Smartphone eine offene Tür für Cyberkriminelle. Erfahren Sie in diesem kostenlosen PDF-Report, wie Sie durch die richtigen Updates Sicherheitslücken schließen und Malware dauerhaft verhindern. Kostenlosen Android-Update-Ratgeber herunterladen
Doch diese Maßnahmen adressieren nicht die VPN-Lücke von Android 16. Google setzt offenbar auf Schutz vor direktem Finanzbetrug und Gerätediebstahl – nicht auf Netzwerksicherheit.
Reaktionen aus dem Ökosystem
Während Google auf die nächste Version setzt, handeln andere Hersteller eigenständig. OnePlus rollte am 14. Mai 2026 OxygenOS 16 für seine Flaggschiff-Modelle 13 und 13s aus – mit dem Mai-Sicherheitspatch und neuen KI-Tools. WhatsApp testet in seiner Android-Beta (Version 2.26.7.8) ein neues Passwort-Feature: Ein sechs- bis zwanzigstelliger Code wird für die Registrierung auf neuen Geräten benötigt.
Regional entwickeln sich neue Bedrohungen. In Kanada warnten Behörden vor „SMS-Blastern“ – Geräten, die klassische Mobilfunknetze umgehen und massenhaft Smishing-Nachrichten versenden. In Europa deckte der niederländische Strafvollzug (DJI) einen Einbruch auf, bei dem Angreifer mindestens fünf Monate lang Systemzugriff hatten und Mitarbeiterdaten stehlen konnten.
Auch die Justiz reagiert. Das LG Berlin II entschied: Banken haften grundsätzlich für Schäden aus Phishing-Angriffen – es sei denn, sie können grobe Fahrlässigkeit des Kunden nachweisen. Das setzt Finanzinstitute unter Druck, auf sicherere Betriebssysteme zu drängen.
Ausblick: Ein riskanter Sommer
Die Weigerung, die VPN-Lücke zu schließen, bedeutet ein anhaltendes Risiko für alle, die auf mobile Geräte für sichere Kommunikation angewiesen sind. Android 17 verspricht zwar KI-gestützte Abwehr, doch die grundlegende Architektur bleibt umstritten.
Ein entscheidender Termin steht bereits fest: Am 8. September 2026 endet der Support für Android 5.0 und iOS 13. Millionen Nutzer werden dann auf neuere – wenn auch nicht perfekte – Geräte wechseln müssen. Ob Android 17 und iOS 26.5 die prognostizierten 442 Milliarden Euro Schaden verhindern können oder Angreifer weiterhin in den Lücken der „Won’t Fix“-Entscheidungen erfolgreich sein werden, bleibt abzuwarten.
