Googles Android-Sicherheitsbulletin dokumentiert zwei aktuelle Schwachstellen, die das mobile Betriebssystem gefährden. Die DoS-Lücke CVE-2026-0049 ist dabei die unmittelbar kritischere Gefahr: Sie zielt auf das Framework-Komponenten ab und ermöglicht lokalen Angreifern, einen Denial-of-Service-Zustand auszulösen. Das Bedrohliche daran ist die minimale Hürde für einen Angriff — weder erweiterte Berechtigungen noch Benutzerinteraktion sind notwendig.
Größeres Sicherheitspotenzial birgt aber die zweite Lücke in StrongBox (CVE-2025-48651), Androids spezialisierter Schutzschicht für kryptografische Schlüssel. StrongBox funktioniert durch die Auslagerung von Verschlüsselungsschlüsseln auf einen separaten, manipulationssicheren Hardware-Chip — einen sogenannten Secure Element (SE). Dieser verfügt über einen eigenen Prozessor, isolierten Speicher und einen hardware-basierten Zufallsgenerator mit robusten Abwehrmechanismen gegen physische und Side-Channel-Attacken.
Die StrongBox-Schwachstelle wurde als “hochgradig gefährlich” eingestuft, doch Googles Ankündigung hält sich zu den genauen Auswirkungen bedeckt. Sicherheitsexperten vermuten allerdings ernsthafte Szenarien: Schlüsselentschlüsselung, Privileg-Eskalation oder DoS-Attacken könnten möglich sein. Betroffen sind StrongBox-Implementierungen von Google, NXP, STMicroelectronics und Thales — also der Mainstream der Industriestandards.
Zum Glück gibt es Entwarnung bei einer Frage: Bislang liegen keine Hinweise vor, dass einer der beiden Sicherheitslücken bereits in freier Wildbahn ausgenutzt wurde. Das verschafft Unternehmen und Privatnutzern ein wichtiges Zeitfenster.
German Sicherheitsbehörden und Unternehmen sollten allerdings nicht nachlässig werden. Insbesondere im Banking- und Finanzsektor, wo StrongBox-geschützte Schlüssel zum Einsatz kommen, empfiehlt sich umgehende Aktualisierung aller betroffenen Android-Geräte. Google und seine Hardware-Partner haben die Patches bereitgestellt; jetzt liegt es an Herstellern und Nutzern, diese schnellstmöglich einzuspielen.