Smartphones werden immer häufiger als digitale Geldbörsen und Identitätsnachweise genutzt – doch die Bedrohungslage verschärft sich dramatisch. Anfang Mai 2026 zeigen Sicherheitsupdates von Google, Qualcomm und Samsung: Angreifer entwickeln immer raffiniertere Methoden, um biometrische Hürden und Mehr-Faktor-Authentifizierung zu umgehen.
Kritische Schwachstellen in Android und Chipsätzen
Google veröffentlichte Details zu einem kritischen Sicherheitsupdate für Android. Die Schwachstelle CVE-2026-0073 ermöglicht eine Remote-Code-Ausführung ohne Benutzerinteraktion. Dieser Zero-Click-Exploit betrifft den Android Debug Bridge Daemon (adbd) und erlaubt Angreifern im selben Netzwerk den Zugriff auf eine Remote-Shell. Betroffen sind Android 14, 15 und 16. Google betont, dass eine aktive Ausnutzung bisher nicht bekannt sei, stuft die Gefahr jedoch als kritisch ein.
Da die Bedrohungslage für Mobilgeräte durch Zero-Click-Exploits zunimmt, ist ein gezielter Schutz für sensible Anwendungen wie Online-Banking unerlässlich. IT-Experten empfehlen genau fünf zentrale Maßnahmen, um Ihr Android-Smartphone wirksam vor Hackern und Datenmissbrauch abzusichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt gratis sichern
Parallel dazu hat Qualcomm Sicherheitsupdates für hunderte Chipsätze bereitgestellt – darunter Snapdragon 8 Elite und Snapdragon 8 Gen 3. Die schwerwiegendste Lücke CVE-2026-25254 erhielt einen CVSS-Score von 9.8 und ermöglicht Remote-Code-Ausführung via SocketIO. Experten weisen darauf hin, dass nun die Hersteller die Patches zeitnah an die Endgeräte verteilen müssen.
Samsung reagierte ebenfalls mit dem Sicherheitspatch für Mai 2026. Er behebt insgesamt 36 Schwachstellen – 30 von Google identifiziert, sechs spezifisch für Samsung-Geräte. Google hat zudem die Belohnungen für sein Vulnerability Reward Program massiv erhöht. Für einen Zero-Click-Exploit des Titan M2-Sicherheitschips auf Pixel-Geräten zahlst das Unternehmen bis zu 1,5 Millionen US-Dollar.
Malware stiehlt Einmalpasswörter über PC-Verknüpfung
Ein besonders besorgniserregender Trend: Angreifer zielen auf die Schnittstelle zwischen Smartphone und Computer ab. Sicherheitsforscher von Cisco Talos entdeckten die Malware CloudZ, die seit Anfang des Jahres aktiv ist. Sie nutzt ein Plugin namens „Pheno“, um Daten aus der Microsoft Phone Link App unter Windows 10 und 11 zu entwenden.
Viele Nutzer synchronisieren SMS-Nachrichten mit ihrem PC. So können Angreifer Einmalpasswörter (OTPs) abfangen, ohne das physische Smartphone zu manipulieren. Die Infektion erfolgt häufig über gefälschte Software-Updates für Fernwartungstools.
Auch klassische Phishing-Methoden erreichen eine neue Qualitätsstufe. Mitte April wurde eine Kampagne beobachtet, die über 35.000 Nutzer in 13.000 Organisationen weltweit ins Visier nahm. Mit gefälschten „Code of Conduct“-E-Mails versuchten die Täter, Authentifizierungstokens mittels Adversary-in-the-Middle-Techniken (AiTM) zu stehlen. Diese Methode kann herkömmliche Mehr-Faktor-Authentifizierungen umgehen. Betroffen waren vor allem der Gesundheitssektor und die Finanzbranche.
Apple Pay Express-Mode: Visa-Karten im Visier
Im Bereich mobiler Zahlungsdienste sorgt ein Exploit beim Apple Pay „Express Mode“ für Aufsehen. Forscher demonstrierten, dass unter bestimmten Bedingungen unbefugte Transaktionen von gesperrten iPhones durchgeführt werden können – wenn eine Visa-Karte als Standard hinterlegt ist. Durch NFC-Reader konnten Beträge in Sekunden entwendet werden.
Apple Pay gilt grundsätzlich als sicherer als physische Karten, da es Tokenisierung und das Secure Element nutzt. Als Sofortmaßnahme empfehlen Experten den Wechsel auf Mastercard oder die Deaktivierung des Express-Modus für Visa-Karten.
Behörden und Anbieter reagieren
Michelle Bowman, Vizepräsidentin der Federal Reserve, erklärte den Kampf gegen Verbraucherbetrug zur obersten Priorität. Eine Umfrage der Fed ergab, dass etwa 21 Prozent der Erwachsenen in den USA im vergangenen Jahr Opfer von Finanzbetrug wurden. Der Nettoverlust beläuft sich auf geschätzte 63 Milliarden US-Dollar.
In Indien hat die National Payments Corporation of India die Grenzen für UPI-AutoPay-Mandate auf 15.000 Rupien festgelegt. In Großbritannien aktualisierte der Anbieter EE seinen Dienst „Scam Guard“. Das System nutzt KI, um betrügerische Anrufe, SMS und E-Mails zu blockieren – 169 Millionen Spam-Versuche konnten so bereits verhindert werden.
LastPass stellte einen „Mobile Smart Scanner“ vor, der handschriftliche oder gedruckte Passwörter per Kamera erfasst und sicher in den Tresor überträgt. Die optische Zeichenerkennung erfolgt lokal auf dem Gerät. Dies soll Nutzer zu komplexen Passwörtern ermutigen – laut Statistik verwenden immer noch 40 Prozent einfache Kombinationen.
Neue Angriffsflächen durch vernetzte Ökosysteme
Die aktuellen Entwicklungen zeigen eine Verschiebung der Angriffsvektoren. Während früher oft das Betriebssystem das Hauptziel war, rücken nun die Schnittstellen zwischen Geräten und die menschliche Komponente in den Mittelpunkt. Smartphones kommunizieren mit PCs, Smartwatches und vernetzten Fahrzeugen – das schafft neue Angriffsflächen. Branchenanalysten von Guardsquare weisen darauf hin, dass bereits 72 Prozent der Organisationen mobile Sicherheitsvorfälle verzeichnet haben.
Ein weiteres Problem: Stalkerware. Die App „Cerberus Anti-theft“ war trotz Sicherheitsprüfungen über längere Zeit im Google Play Store verfügbar. Solche Anwendungen missbrauchen Barrierefreiheitsfunktionen, um heimlich Fotos aufzunehmen oder Standorte zu tracken. Da diese Apps tiefgreifende Berechtigungen erfordern, können sie auch Finanztransaktionen überwachen.
Neben dem Schutz vor Stalkerware bleibt die zeitnahe Installation offizieller Updates die wichtigste Verteidigungslinie gegen digitale Angriffe. Dieser kostenlose Ratgeber zeigt in fünf einfachen Schritten, wie Sie Sicherheitslücken schließen und Daten vor Malware dauerhaft schützen. Gratis-Ratgeber: Android-Updates richtig installieren
Ausblick: Strengere Standards und neue Schutzfunktionen
Für die kommenden Monate wird eine weitere Verschärfung der Sicherheitsstandards erwartet. Mit iOS 26.5 plant Apple eine Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten zwischen iPhones und Android-Geräten. Google bereitet für Android 15 und 16 Funktionen wie eine KI-basierte Diebstahlerkennung und die Deaktivierung von veralteten 2G-Netzwerken vor, um IMSI-Catcher-Angriffe zu verhindern.
Der EU Cyber Resilience Act wird die Anforderungen an vernetzte Produkte weiter verschärfen. Für Verbraucher bleibt die zeitnahe Installation von Sicherheitsupdates die wichtigste Schutzmaßnahme. Technische Lösungen allein reichen nicht aus – eine kontinuierliche Sensibilisierung für Phishing-Methoden und robuste Authentifizierungsverfahren bleiben essenziell.
