Der Browser hält Passwörter unverschlüsselt im Arbeitsspeicher vor. Gleichzeitig verbreitet sich der Trojaner CloudZ, der genau diese Lücke ausnutzt.
Angesichts immer komplexerer Trojaner und Browser-Lücken ist ein aktuelles Betriebssystem die wichtigste Verteidigungslinie für Ihre mobilen Daten. Dieser kostenlose PDF-Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone mit den richtigen Updates sofort sicherer machen. 5 einfache Schritte für ein sicheres Smartphone
CloudZ hebelt Zwei-Faktor-Authentifizierung aus
Der Trojaner ist seit Januar 2026 aktiv und wird über gefälschte Software-Updates verteilt. Seine besondere Stärke: CloudZ verbindet PCs und Smartphones. Über ein Plugin namens Pheno greift die Malware auf Microsoft Phone Link zu.
So lesen Angreifer synchronisierte SMS-Nachrichten und Einmalpasswörter direkt vom infizierten Computer aus – ohne das physische Smartphone zu berühren. Die Zwei-Faktor-Authentifizierung wird damit wirkungslos.
Mitte April 2026 kam es zu einer großflächigen Phishing-Welle. Rund 13.000 Organisationen in 26 Ländern waren betroffen. Innerhalb von drei Tagen registrierten Experten etwa 35.000 Angriffe. Die meisten Opfer sitzen in den USA.
Samsung und Google schließen kritische Lücken
Samsung rollt sein Mai-Update aus – es behebt 36 Schwachstellen. Zwei davon gelten als kritisch, 28 als hochriskant. Die Patches betreffen den Android-Kern und Samsung-eigene Komponenten wie den LocationManager.
Google liefert für die Pixel-Serie ebenfalls ein Update. Es schließt eine Zero-Click-Lücke (CVE-2026-0073), die Android 14 bis 16 betrifft. Zudem gibt es Verbesserungen beim kabellosen Laden und der Kamera-Stabilität.
Auch WhatsApp hat reagiert. Nutzer sollten die App auf iOS, Android und Windows aktualisieren. Grund ist unter anderem CVE-2026-23866 – eine Lücke bei der Verarbeitung von Instagram-Reels-Inhalten, die Schadcode-Ausführung ermöglicht.
Android Binary Transparency soll Vertrauen schaffen
Google führt Anfang Mai das Konzept der „Android Binary Transparency“ breiter ein. Seit dem 1. Mai werden kryptografische Einträge für offizielle Google-Apps in einem öffentlichen Ledger protokolliert.
Das Prinzip: Installierte Software lässt sich auf Echtheit prüfen. Sicherheitsforscher und Gerätehersteller können so manipulierte Apps erkennen. Das schützt besonders vor Insider-Risiken und Angriffen auf die Entwicklungsinfrastruktur. Eine Ausweitung auf Drittentwickler ist geplant.
Chrome für Android bekommt zudem eine neue Privatsphäre-Funktion. Nutzer können Webseiten künftig nur ihren ungefähren Standort mitteilen – präzise GPS-Daten bleiben geschützt. Navigationsdienste behalten weiterhin exakten Zugriff.
Datenschutz-Beschwerden steigen um 36 Prozent
Der Bundesbeauftragte für den Datenschutz legte seinen Jahresbericht für 2025 vor. Die Zahl der Beschwerden stieg auf 11.824 – ein Plus von 36 Prozent. Die Behörde betont die wachsende Bedeutung von Datensicherheitsgesetzen und KI-Kontrolle.
Ein prominentes Beispiel: Vodafone musste 45 Millionen Euro Bußgeld zahlen. Auch Apple lenkte ein – der Konzern stimmte einem Vergleich über 250 Millionen US-Dollar zu. Hintergrund ist eine Sammelklage wegen irreführender Angaben zur Datennutzung durch Siri.
Da allein in Deutschland pro Quartal Millionen von Konten gehackt werden, ist der Umstieg auf moderne Sicherheitsstandards für jeden Nutzer unverzichtbar. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Diensten wie WhatsApp oder Amazon einrichten und Hackerangriffe effektiv verhindern. Kostenlosen Passkey-Report jetzt herunterladen
Passwortlos als neuer Standard?
Zum Weltpassworttag Anfang Mai raten Sicherheitsbehörden zum Umdenken. Regelmäßige Passwortwechsel gelten als überholt. Stattdessen empfehlen Experten:
- Starke, einzigartige Passwörter mit mindestens zehn Zeichen
- Passwort-Manager zur Verwaltung
- Flächendeckende Einführung von Passkeys
Passkeys basieren auf biometrischen Merkmalen und sind resistent gegen Phishing. Die FIDO Alliance berichtet, dass die meisten Verbraucher bereits Konten mit Passkey-Unterstützung haben. Angesichts der Edge-Schwachstelle gilt der Verzicht auf klassische Passwörter als wesentlicher Schritt zur Risikominimierung.
