Eine gefährliche Sicherheitslücke in der Übersetzung von E-Mails zu SMS ist geschlossen. Angreifer konnten sich in Textnachrichten als andere Personen ausgeben – und das betraf Millionen Nutzer in den USA.
Die Schwachstelle lag im Übergabeprozess zwischen E-Mail-Diensten und klassischen SMS-Nachrichten. Betroffen waren sowohl Android- als auch Apple-Geräte. Netzbetreiber wie Verizon, T-Mobile, Google Fi und Mint Mobile mussten reagieren. Forscher der University of California San Diego deckten das Problem auf und wurden dafür auf dem IEEE Symposium on Security and Privacy in San Francisco ausgezeichnet.
Patches und langfristige Lösungen
Anzeige: Die E-Mail-zu-SMS-Lücke betrifft Millionen – und Ihr Unternehmen könnte das nächste Ziel sein. Dieser Report liefert die entscheidende Checkliste, um Identitätsbetrug zu verhindern, bevor Angreifer Ihre Kommunikation kapern. Jetzt Sicherheits-Report anfordern
Google Messages und Apple Messages haben bereits Sicherheitsupdates erhalten, die das Identitäts-Faking verhindern. T-Mobile und Google haben ihre Übersetzungsprotokolle angepasst. Verizon geht einen Schritt weiter: Der Konzern stellt den gesamten E-Mail-zu-SMS-Dienst bis März 2027 komplett ein. Damit wird die Angriffsfläche endgültig beseitigt.
Doch damit nicht genug: Zeitgleich wurde eine weitere kritische Schwachstelle bekannt – diesmal in der VoLTE-Infrastruktur von Verizon. Die Sicherheitslücke CVE-2026-10629 betrifft die Signalisierungsdaten des Session Initiation Protocol (SIP). Diese Daten wurden ohne die notwendige IPsec-ESP-Verschlüsselung übertragen.
Angreifer könnten Gespräche manipulieren
Die fehlende Absicherung ermöglicht es Angreifern, Signalisierungsdaten abzufangen und zu verändern – ohne dass dies bemerkt wird. Theoretisch ließen sich so Sprach- und Videoanrufe manipulieren. Apple hatte zwar mit iOS 26.5 am 11. Mai 2026 IMS-IPsec-Einstellungen eingeführt, doch ob diese aktiv zum Einsatz kommen, ist laut Branchenberichten unklar. Sicherheitsexperten kritisieren Verizons Reaktion als inkonsistent.
Supreme Court stärkt FCC bei Datenschutz
Die technischen Maßnahmen folgen auf ein wegweisendes Urteil des Obersten Gerichtshofs der USA. Am 4. Juni 2026 entschieden die Richter mit 8:1, dass die FCC weiterhin Bußgelder gegen Netzbetreiber verhängen darf, die Standortdaten ihrer Kunden ohne Gerichtsverfahren an Dritte verkaufen. Die Strafen sind enorm: 57 Millionen Euro für AT&T, 47 Millionen Euro für Verizon sowie 92 Millionen Euro für T-Mobile und Sprint gemeinsam.
Anzeige: VoLTE-Signalisierung unverschlüsselt? Verizon-Patch reicht nicht. Unser Whitepaper zeigt, wie Sie die CVE-2026-10629-Lücke schließen und Anrufmanipulation verhindern – mit konkreten Schutzmaßnahmen für Ihr Netzwerk. VoLTE-Whitepaper jetzt sichern
Neue Schutzmechanismen gegen Betrug
Google rollt zudem ein neues „Fake Call Detection“-Tool für Android 12 und neuere Geräte aus – zunächst für die Pixel-Reihe. Die Funktion nutzt ein stilles Bestätigungssignal über Ende-zu-Ende-verschlüsselte RCS-Nachrichten, um zu prüfen, ob ein Anrufer wirklich der ist, der er vorgibt zu sein. Der Handlungsdruck ist enorm: Interpol meldete im März 2026, dass Identitätsbetrug weltweit Schäden von über 370 Milliarden Euro verursacht hat.
Apple weitet seine Schutzmaßnahmen ebenfalls aus. Mit iOS 18.7.7 erhalten ältere iPhone-Modelle – vom iPhone 11 bis zum iPhone 16 sowie das iPhone SE der zweiten Generation – Sicherheitsupdates gegen die Schadsoftware DarkSword. Diese Malware wurde von mutmaßlich staatlich gesteuerten Akteuren genutzt, um Geräte mit iOS 18 anzugreifen.
