Die Schwachstelle CVE-2026-28950 in den Benachrichtigungsdiensten ermöglichte es Dritten, Fragmente gelöschter Nachrichten aus dem Speicher von iPhones auszulesen. Besonders brisant: US-Ermittlungsbehörden sollen diese Lücke bereits genutzt haben, um auf Kommunikation in verschlüsselten Messengern wie Signal zuzugreifen.
Daten blieben monatelang rekonstruierbar
Mit den Versionen iOS 26.4.2 und iOS 18.7.8 schließt Apple eine gefährliche Sicherheitslücke. Der Fehler lag in den sogenannten Notification Services – Dienste, die Push-Benachrichtigungen verarbeiten. Sie speicherten Metadaten und Textfragmente eingehender Nachrichten in einer internen Datenbank.
Das Problem: Selbst wenn Nutzer Nachrichten manuell löschten oder die gesamte App entfernten, blieben diese Informationen im System. In einigen Fällen waren die Daten bis zu einem Monat nach dem Löschen rekonstruierbar.
Da nicht nur iPhones, sondern auch Android-Geräte zunehmend ins Visier von Kriminellen geraten, ist ein proaktiver Schutz des eigenen Smartphones unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker, Viren und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Das FBI nutzte diese Schwachstelle offenbar gezielt aus. Die Ende-zu-Ende-Verschlüsselung von Signal selbst wurde dabei nicht geknackt – der Zugriff erfolgte auf Betriebssystem-Ebene. Experten raten iPhone-Nutzern dringend zur Installation der neuen Patches.
Phishing-Welle trifft deutsche Spitzenpolitiker
Parallel zur Apple-Schwachstelle läuft eine professionell organisierte Phishing-Kampagne gegen Signal-Nutzer in Deutschland. Das BSI und das Bundesamt für Verfassungsschutz veröffentlichten gestern eine dringende Warnung.
Die Angriffe laufen seit Februar 2026 und zielen auf hochrangige Persönlichkeiten aus Politik, Militär, Diplomatie und Investigativjournalismus. Betroffen sind mehrere SPD-Bundestagsabgeordnete sowie Bundestagspräsidentin Julia Klöckner (CDU).
Die Angreifer geben sich als offizieller Signal-Support aus, etwa als „Signal Security ChatBot“. Sie fordern Opfer zur Eingabe ihrer PIN oder zum Scannen von QR-Codes auf. In einigen Fällen kamen KI-geklonte Stimmen zum Einsatz. Das BSI empfiehlt bei Verdacht: PIN ändern, Konto löschen und Registrierungssperre aktivieren.
Explosive Bedrohungslage im Mobilfunk
Die Vorfälle sind Teil einer sich verschärfenden Cyber-Sicherheitslage. Laut Chainalysis Crypto Crime Report 2026 stieg die Zahl der Identitätsdiebstähle um 1.400 Prozent, KI-gestützter Betrug um 450 Prozent. Allein im April 2026 verursachten Angriffe auf digitalen Plattformen Schäden von über 605 Millionen US-Dollar.
Das BSI entdeckte im Februar rund 4,43 Millionen neue Schadprogramm-Varianten – etwa 158.000 pro Tag. Hinzu kommen Hardware-Schwachstellen: Kaspersky identifizierte einen Fehler im BootROM älterer Qualcomm-Snapdragon-Chipsätze (CVE-2026-25262). Bei physischem Zugriff können Angreifer die vertrauenswürdige Startkette kompromittieren.
Auch Android-Nutzer sind betroffen: Die NGate-Malware tarnt sich als Bezahl-App und nutzt die NFC-Schnittstelle, um Kartendaten abzugreifen und kontaktlose Geldabhebungen zu ermöglichen.
Systemarchitektur als Schwachpunkt
Die Ereignisse zeigen ein fundamentales Problem: Selbst die stärkste Verschlüsselung nutzt wenig, wenn das Betriebssystem Daten im Klartext zwischenspeichert. Dass Apple die Lücke erst nach Berichten über FBI-Zugriffe schloss, wirft Fragen auf.
Kriminelle professionalisieren sich zudem durch KI. Dass hochrangige Politiker Opfer von Phishing wurden, zeigt die Wirksamkeit von Social Engineering – trotz Ende-zu-Ende-Verschlüsselung.
Angesichts der Millionen gehackten Konten pro Quartal in Deutschland wird der Wechsel auf modernere Sicherheitsverfahren wie Passkeys immer dringlicher. Erfahren Sie in diesem Gratis-Report, wie Sie sich künftig passwortlos und sicher per Fingerabdruck oder Gesichtserkennung bei Diensten wie Amazon und WhatsApp anmelden. Kostenlosen Passkey-Ratgeber jetzt anfordern
Ausblick: Passwortlose Zukunft
Für die kommenden Monate erwarten Experten eine verstärkte Umstellung auf passwortlose Authentifizierung. Die britische NCSC rät bereits zu biometrischen Passkeys. Google integriert neue Schnittstellen zur Verifizierung ohne Einmalpasswörter, um SIM-Swapping-Angriffe zu unterbinden.
Während Apple die dringendsten Lücken geschlossen hat, bleiben andere Baustellen: Samsung-Nutzer kämpfen seit Ende März mit Verbindungsproblemen bei Android Auto. Eine Lösung wird erst für Juni erwartet. Die Branche steht vor der Herausforderung, Sicherheit zu erhöhen, ohne die Benutzerfreundlichkeit zu opfern.
