Die Lücken betreffen Android, iOS und Windows. Angreifer hätten damit Schadcode ausführen oder gefälschte Dateien einschleusen können. Sicherheitsexperten raten den rund 2,5 Milliarden Nutzern zur sofortigen Aktualisierung.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Zwei Schwachstellen im Detail
Die erste Lücke (CVE-2026-23866) steckt in der Verarbeitung von KI-generierten Inhalten. Konkret geht es um sogenannte AI-Rich-Response-Nachrichten, die bei Instagram Reels zum Einsatz kommen. Auf Android und iOS konnten Angreifer darüber schädliche URLs in die App laden – und Nutzer auf präparierte Webseiten locken.
Die zweite Schwachstelle (CVE-2026-23863) betrifft die Windows-Version von WhatsApp. Hier ermöglichte ein Trick namens Attachment-Spoofing, ausführbare Dateien als harmlose PDFs zu tarnen. Das Problem: NUL-Bytes in Dateinamen verschleierten die echte Endung. Nutzer öffnen vermeintliche Dokumente – und installieren unbemerkt Malware.
Meta betont: Für einen Angriff muss der Nutzer aktiv werden – eine Datei öffnen oder einen Link klicken. Bisher gibt es keine Hinweise auf aktive Ausnutzung der Lücken. Entdeckt wurden sie über Metas Bug-Bounty-Programm.
Wer updaten muss
Die betroffenen Versionen im Überblick:
- iOS: v2.25.8.0 bis v2.26.15.72 – Update auf v2.26.15.72 oder höher
- Android: v2.25.8.0 bis v2.26.7.10 – Update auf v2.26.7.10 oder höher
- Windows: vor Build v2.3000.1032164386.258709 – Update auf diese Version oder höher
Die Updates liegen in den offiziellen App-Stores bereit. Angesichts der Milliarden-Nutzerbasis von WhatsApp raten Analysten zur Eile: Messenger-Dienste sind ein Hauptziel für Malware und Phishing.
Sicherheitswelle Anfang Mai
Die WhatsApp-Patches sind Teil einer größeren Update-Welle. Google hat zeitgleich das monatliche Sicherheitsupdate für Android veröffentlicht. Es schließt eine kritische Lücke in der Systemkomponente „adbd“ (CVE-2026-0073). Angreifer hätten damit Code aus der Ferne ausführen können – ohne Nutzer-Interaktion.
Auch Qualcomm hat Updates für seine Chipsätze bereitgestellt, darunter Snapdragon 8 Elite und Snapdragon 8 Gen 3. Einige Lücken erreichten CVSS-Werte von 9,8 – höchste Kritikalität. Die Patches müssen nun von den Geräteherstellern in ihre Software-Builds eingespielt werden.
Neue Transparenz für Android
Seit dem 1. Mai setzt Google zudem auf „Android Binary Transparency“. Ein öffentliches, unveränderliches Hauptbuch speichert kryptografische Einträge aller Produktions-Apps. Damit lässt sich prüfen, ob die installierte Software exakt der vom Entwickler freigegebenen Version entspricht. Pixel-Nutzer können bereits jetzt die Echtheit ihrer System-Images verifizieren. Eine Ausweitung auf Drittentwickler ist in Vorbereitung.
Die größere Bedrohung
Neben technischen Lücken bleibt Social Engineering die Hauptgefahr. Das FBI berichtet von hohen Schäden durch Phishing und Bank-Spoofing – täuschend echte Anrufe mit imitierten Banknummern. Opfer verloren teils fünfstellige Beträge.
Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle, da Sicherheitslücken in Apps wie WhatsApp oft erst spät geschlossen werden. Dieser kostenlose Report zeigt Ihnen, wie Sie mit den richtigen Updates Datenverlust und Malware dauerhaft verhindern. Kostenlosen Android-Sicherheits-Ratgeber herunterladen
Auch Stalkerware ist weiter ein Problem. Die App „Cerberus Anti-theft“ bietet trotz Listung im Play Store weitreichende Überwachungsfunktionen: heimliche Fotos, Standort-Tracking, Audioaufnahmen. Solche Apps nutzen oft Bedienungshilfen des Systems, um unerkannt zu bleiben.
Neuer Chrome-Schutz
Google reagiert mit neuen Privatsphäre-Funktionen. Seit Anfang Mai können Chrome-Nutzer auf Android Websites nur den ungefähren Standort freigeben. Den präzisen Standort behalten sie Diensten wie Navigation oder Lieferdiensten vor. Ein kleiner Schritt – aber ein wichtiger für die Datenhoheit.
Was kommt
Die Integration von KI in Messaging-Apps wird neue Angriffsvektoren schaffen, da sind sich Experten sicher. Google hat die Belohnungen für Sicherheitsforscher drastisch erhöht: Bis zu 1,5 Millionen US-Dollar gibt es für Zero-Click-Exploits, die den Titan-M2-Sicherheitschip in Pixel-Geräten knacken.
In den kommenden Monaten dürfte die ungefähre Standortfreigabe auch auf Desktops kommen. Und Anti-Rollback-Mechanismen, wie sie Google mit dem Mai-Update für die Pixel-10-Serie verschärft hat, werden Standard – um Downgrades auf unsichere Software zu verhindern.
Bleibt die simple Wahrheit: Updates installieren, misstrauisch bleiben gegenüber ungefragten Dateien und Links. Das schützt immer noch am besten.
