Eine neue Schwachstelle im Google Chrome-Browser für Android gefährdet Millionen Nutzer. Die Lücke erlaubt es Angreifern, die Adressleiste zu manipulieren und so perfekte Phishing-Seiten vorzutäuschen. Google hat ein Notfall-Update bereitgestellt, doch viele Geräte sind noch ungeschützt.
Die trügerische Adresszeile
Im Kern der Bedrohung steht die Sicherheitslücke CVE-2026-0906. Sie betrifft Chrome-Versionen für Android vor 144.0.7559.59. Sicherheitsforscher von SentinelOne klassifizieren den Fehler als „Incorrect Security UI“.
Das Problem: Speziell präparierte Webseiten können den Inhalt der Omnibox – der Adressleiste – fälschen. Für Nutzer steht dann scheinbar „paypal.com“ in der Leiste, während im Hintergrund eine gefälschte Seite eines Angreifers lädt. Der bloße Besuch einer solchen Seite reicht aus, um die Täuschung zu aktivieren. Damit fällt der wichtigste visuelle Sicherheitsindikator im Browser aus.
Passend zum Thema Phishing: Die neuen Chrome- und WebView‑Schwachstellen erlauben täuschend echte Fake‑Logins – selbst die Adressleiste (Omnibox) kann manipuliert werden. Für Unternehmen und private Nutzer ist das Risiko hoch. Das kostenlose Anti‑Phishing‑Paket liefert eine 4‑Schritte‑Anleitung, wie Sie Omnibox‑Spoofing, gefälschte Login‑Seiten und WebView‑Exploits erkennen und sofort abwehren können – inklusive Checkliste für Mitarbeiter. Anti-Phishing-Paket jetzt herunterladen
Gefahr durch Apps: Die WebView-Lücke
Eine zweite, tief im System verwurzelte Schwachstelle verschärft das Risiko. CVE-2026-0628 betrifft die Android System WebView-Komponente. Diese ermöglicht es Apps, Webinhalte anzuzeigen, ohne den Browser zu öffnen.
Die Lücke könnte es Angreifern erlauben, bösartigen Code in privilegierte Seiten einzuschleusen. Da unzählige Apps – von Social Media bis Banking – WebView nutzen, ist der potenzielle Schaden enorm. Updates ab Version 143.0.7499.192 schließen das Loch, doch die Verteilung hängt von Geräteherstellern und individuellen App-Updates ab.
Ein perfekter Sturm für Daten
Die Dringlichkeit der Updates wird durch parallel aufgedeckte Sicherheitsprobleme verstärkt. Sicherheitsforscher von Cybernews wiesen diese Woche auf massive Datenschutzmängel in vielen Android-Apps mit KI-Funktionen hin. Diese Apps enthalten oft hartkodierte Zugangsdaten.
Für Nutzer entsteht ein toxischer Mix:
* Die Chrome-Lücke leitet sie auf täuschend echte Phishing-Seiten.
* Unsichere Apps auf dem Gerät könnten Daten schlecht geschützt übertragen.
* Die WebView-Schwachstelle erweitert den Angriffsvektor auf tausende Anwendungen.
Diese Kombination schafft eine akute Gefahr für persönliche und finanzielle Daten.
Fragmentierung bremst den Schutz
Sicherheitsbehörden wie das BSI warnen vor der Bedrohung. Der fragmentierte Android-Markt stellt dabei ein großes Problem dar: Während Besitzer aktueller Pixel- oder Galaxy-Modelle Updates schnell erhalten, müssen Nutzer älterer Geräte oft wochenlang warten.
Experten sehen besonders Unternehmen in Gefahr. Mitarbeiter, die mit dem Smartphone auf Firmennetzwerke zugreifen, könnten durch gefälschte Login-Seiten Zugangsdaten preisgeben. Das wäre das Einfallstor für folgenschwere Ransomware-Angriffe.
Was Nutzer jetzt tun müssen
Der manuelle Update-Check bleibt der wichtigste Schutz. Nutzer sollten im Play Store sofort prüfen, ob beide Komponenten aktuell sind:
* Google Chrome
* Android System WebView
Für die Zukunft setzen Experten auf KI-gestützte Erkennung direkt auf dem Gerät. Diese Systeme sollen Spoofing-Versuche in Echtzeit blockieren, bevor der Nutzer überhaupt interagieren kann. Bis dahin gilt: Updates sofort installieren.
PS: Sofort handeln schützt. Das Anti‑Phishing‑Paket erklärt in vier konkreten Schritten, welche technischen und organisatorischen Maßnahmen jetzt helfen – von Update‑Checks bis zur Mitarbeitersensibilisierung gegen Omnibox‑ und WebView‑Angriffe. Ideal für IT‑Verantwortliche, die schnelle Maßnahmen brauchen und eine druckbare Checkliste suchen. Gratis Anti-Phishing-Guide anfordern
