Die als „usbliter8“ bekannte Schwachstelle sitzt tief im Chip – und selbst ein Software-Update kann sie nicht schließen.
Der fatale Fehler im Chip
Sicherheitsforscher von Paradigm Shift haben die Schwachstelle in den A12- und A13-Chipsätzen von Apple entdeckt. Betroffen sind die iPhone-Modelle XS, XR, 11 sowie das iPhone SE der zweiten Generation. Auch iPads wie das iPad Air der dritten Generation, das iPad mini der fifth Generation und die achte sowie neunte Generation des Standard-iPads sind verwundbar. Zusätzlich sind die Apple Watch Series 4, 5 und das SE der ersten Generation betroffen.
Während Hardware-Lücken oft schwer zu schließen sind, können Sie die Software-Sicherheit Ihres Geräts mit den richtigen Schritten massiv erhöhen. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Smartphone in wenigen Minuten effektiv gegen Hacker und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Das Problem: Der Fehler sitzt im BootROM und SecureROM – also im schreibgeschützten Speicher des Chips. Herkömmliche Software-Updates können diese Zone nicht erreichen. Eine Reparatur ist daher unmöglich.
Zwar benötigt ein Angreifer physischen Zugriff auf das Gerät. Doch in Kombination mit anderen Sicherheitslücken könnte „usbliter8“ für einen Jailbreak genutzt werden. Die gute Nachricht: Die Secure Enclave, in der sensible Daten wie Fingerabdrücke und Zahlungsinformationen geschützt sind, bleibt weiterhin sicher. Dennoch raten Experten Nutzern mit besonders sensiblen Daten zum Umstieg auf neuere Modelle.
Samsung ebenfalls betroffen – aber mit Patch
Parallel zu Apples Problemen hat der Sicherheitsdienst LucidBit eine acht Jahre alte Schwachstelle in Samsungs KNOX-Sicherheitsframework bestätigt. Der „Use-after-free“-Fehler in den Komponenten PROCA und FIVE betraf eine breite Palette von Galaxy-Geräten – vom S9 bis zum S25 sowie diverse A-Modelle. Die Lücke hätte Kernel-Angriffe ermöglicht. Samsung reagierte jedoch umgehend: Ein korrigierendes Update wurde bereits im Januar 2026 ausgerollt.
Schluss mit SMS-TANs: Banken müssen umdenken
Die Enthüllungen kommen zu einem Zeitpunkt, an dem Aufsichtsbehörden weltweit strengere Authentifizierungsstandards durchsetzen. Die philippinische Zentralbank BSP hat digitale Banken angewiesen, SMS-basierte Einmalpasswörter bis zum 30. Juni 2026 abzuschaffen. Der Grund: Das SS7-Protokoll, über das SMS-Nachrichten laufen, gilt als anfällig für Abhörangriffe. Stattdessen setzen Banken künftig auf biometrische Verfahren, Passkeys und adaptive Authentifizierungssysteme.
Dass klassische Login-Methoden ein Risiko darstellen, zeigt auch eine aktuelle Untersuchung von Check Point Research. Die Analysten identifizierten 6.843 betrügerische Amazon-Domains, die zwischen Dezember 2025 und Mai 2026 registriert wurden. Diese Seiten zielen darauf ab, während umsatzstarker Shopping-Zeiten Kreditkartendaten und Zugangsdaten abzugreifen. Experten empfehlen daher, wo immer möglich, auf Passkeys statt Passwörter zu setzen.
Angesichts der Zunahme von Phishing-Attacken und unsicheren Login-Verfahren suchen viele Nutzer nach einer sichereren Alternative für ihre Online-Konten. Erfahren Sie in diesem Gratis-Report, wie Sie Passkeys bei Diensten wie Amazon oder WhatsApp einrichten und künftig ohne Passwort-Stress surfen. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Die jährliche Sicherheitsroutine: Eine Stunde für den Schutz
Als Reaktion auf die wachsende Bedrohungslage haben Cybersicherheitsexperten einen neuen Leitfaden für eine jährliche „Ein-Stunden-Sicherheitsrücksetzung“ veröffentlicht. Die Botschaft: Digitale Hygiene ist kein Luxus, sondern essenziell für den Schutz von Identität und Finanzdaten.
Der empfohlene Ablauf umfasst vier Schritte:
System- und App-Prüfung: Alle ausstehenden Firmware-Updates installieren, nicht mehr genutzte Anwendungen löschen.
Berechtigungsmanagement: App-Berechtigungen überprüfen – hat eine Taschenlampen-App wirklich Zugriff auf das Mikrofon oder die Kontakte?
Authentifizierungs-Updates: Passwörter für kritische Konten erneuern, Multi-Faktor-Authentifizierung aktivieren.
Gerätezustand: Einen gezielten Malware-Scan durchführen, sicherstellen, dass Geräteortung und Fernlöschung funktionieren.
Auch Strafverfolgungsbehörden wie die Polizei in Delhi haben konkrete Schritte für kompromittierte Konten veröffentlicht. Für WhatsApp etwa empfehlen sie spezielle Codes, um unautorisierte Anrufweiterleitungen zu deaktivieren, sowie die regelmäßige Überprüfung verknüpfter Geräte.
Unabhängig von spezifischen Schwachstellen gilt: Ein regelmäßiger Neustart des Smartphones kann nicht nur die Leistung verbessern, sondern auch bestimmte softwarebasierte Sicherheitsrisiken minimieren.
