Eine Sicherheitslücke im Dolby Digital Plus Unified Decoder machte Android, iOS, macOS und Windows anfällig für Angriffe. Sie ermöglichte etwa Zero-Click-Attacken auf Android-Geräte. Aktualisierungen zum Stopfen des Sicherheitslecks stehen bereits zur Verfügung.

Darüber berichtet Googles Project Zero in einem Bug-Eintrag. Aufgrund eines Integer-Überlaufs bei der Verarbeitung von Daten durch den DDPlus Unified Decoder können Schreibzugriffe in einen Heap-artigen Puffer über die vorgesehenen Speichergrenzen hinaus erfolgen. Dadurch lassen sich Strukturen wie Zeiger überschreiben. „Unter Android führt dies zu einer Zero-Click-Schwachstelle, da Android lokal alle Audio-Nachrichten und -Anhänge zur Transkription dekodiert, mit diesem Decoder, und das ohne, dass Nutzer mit dem Gerät interagieren“, erklären die Programmierer dort.

Zero-Click-Code-Ausführung auf Android-Handy

Sie haben Beispieldateien erstellt, die die Lücke demonstrieren und einen Absturz anfälliger Geräte auslösen. Getestet haben die IT-Forscher Googles Pixel 9 sowie Samsungs S24, die mit einem SIGSEGV (Segmentation Fault) abstürzten. MacBook Air M1 mit macOS 26.0.1 und iOS 26.0.1 auf einem iPhone 17 Pro stürzten hingegen mit einer „-bounds-safety trap“ ab, also Sicherheitsmechanismen in der verwendeten Programmierumgebung. Die IT-Sicherheitsspezialisten haben eingeschleusten Code durch diese Schwachstelle auf Googles Pixel 9 mit Android 16 und Firmware BP2A.250605.031.A2 ausführen können.

Die Schwachstelle gilt dem Bug-Eintrag zufolge als gefixt. Microsoft hat sie vergangene Woche mit den Oktober-Sicherheitsupdates für diverse Windows-Versionen ausgebessert(CVE-2025-54957, CVSS 7.0, Risiko „hoch„). Für ChromeOS hat Google dafür Mitte September eine Betriebssystemaktualisierung verteilt.

Dolby hat eine eigene Sicherheitsmitteilung veröffentlicht, in der das Unternehmen das Sicherheitsrisiko mit einem CVSS-Wert von 6.7 lediglich als „mittel“ einstuft. Betroffen sind demnach die Softwareversionen UDC v4.5 bis v4.13. Der Hersteller fordert Anbieter auf, deren Geräte Dolby Digital Plus einsetzen, ihren Dolby-Repräsentanten zu kontaktieren, um die jüngsten Dolby-Digital-Plus-Dateien zu erhalten. Endkunden sollten sicherstellen, dass ihre Geräte auf dem aktuellen Stand sind.

Zuletzt gab es etwa Ende August in WhatsApp eine Zero-Click-Lücke, die iOS- und macOS-Geräte ohne Nutzerbestätigung verwundbar machte.

(dmk)

WhatsApp will Spam den Kampf ansagen. Dazu plant die Messenger-Plattform, die Anzahl an Nachrichten einzuschränken, die Privatnutzer und Unternehmen senden können, wenn (unbekannte) Empfänger darauf nicht reagieren.

Das hat das Magazin TechCrunch in Erfahrung gebracht. Demnach rechnet WhatsApp alle Nachrichten, die Nutzer und Unternehmen versenden, auf ein monatliches Budget an – außer, die Absender erhalten eine Antwort. Wie hoch die maximale Anzahl an unbeantworteten Nachrichten vor der Sperre ist, nannte WhatsApp nicht. Die App soll jedoch ein Pop-up-Fenster als Warnung anzeigen, sofern sich Betroffene dem Limit nähern, sodass sie möglicherweise die Blockade noch abwenden können.

Gegenüber TechCrunch hat WhatsApp erklärt, die Funktion „in mehreren Ländern in den kommenden Wochen“ scharfzuschalten. Durchschnitts-User seien nicht betroffen, da sie üblicherweise die Grenzen nicht erreichen. Der Mechanismus sei dafür ausgelegt, effektiv gegen Menschen und Geschäfte vorzugehen, die massig Nachrichten verschicken und Leute zuspammen.

Spamschutz ist sinnvoll

Spam-Versand in WhatsApp scheint ein lukratives Geschäftsmodell zu sein. Die IT-Forscher von Socket haben eine Kampagne entdeckt, bei der der Chrome Web Store mit 131 Klonen einer WhatsApp-Web-Automatisierungs-Erweiterung geflutet wurde. Im Visier der Spammer sind derzeit insbesondere brasilianische Nutzerinnen und Nutzer.

Wie die IT-Sicherheitsforscher von Socket in einem Blog-Beitrag berichten, injiziert sich der Code der Browser-Erweiterungen direkt in die WhatsApp-Webseite und läuft dort neben den eigenen Skripten von WhatsApp. Er automatisiert Massenkontakte und plant diese so, dass sie die Anti-Spam-Maßnahmen von WhatsApp unterlaufen. Die Autoren der Original-Erweiterung suchen Kunden, die für die Massen-Spams zahlen – dafür versprechen sie ein Vielfaches an Gewinn – und ihre Marken sowie Webseiten zur Verfügung stellen. Daher ist der gleiche Code mit unterschiedlichen Marken als Aufmacher den Forschern zufolge bereits 131 Mal im Chrome Web Store aufgetaucht. In der Analyse zählen sie alle bösartigen Erweiterungen in den Indizien für eine Infektion (Indicators of Compromise, IOCs) auf. Zudem haben sie die Erweiterungen an Google gemeldet, damit sie aus dem Store entfernt werden.

Bereits im April hat WhatsApp erste Maßnahmen gegen unerwünschte Werbebotschaften ergriffen. Dazu hat die Messenger-Plattform die Broadcast-Funktion eingeschränkt, mit der Nutzer und Unternehmen viele Nutzer auf einmal erreichen können. Zu dem Zeitpunkt hat WhatsApp noch die passenden Limits ausgetestet. Die damals aktuelle Beta-Version erlaubte 30 Broadcast-Nachrichten im Monat. Für weitere Mitteilungen empfahl WhatsApp, dass Betroffene Status-Updates oder Kanäle nutzen sollten.

(dmk)

Wie anonym können wir künftig noch bezahlen? Diese Frage stellt sich vermehrt in einer Welt, in der digitale Zahlungsmethoden sich immer weiter verbreiten. Die Europäische Zentralbank wirbt für den Digitalen Euro im­mer wieder mit einem Level an Privatsphäre, dass „Bargeld-ähnlich“ oder „Bargeld-nah“ sein soll. Nun hat der Europäische Datenschutzausschuss, in dem nationale und der EU-Datenschutzbeauftragte zusammenkommen, ein Gutachten in Auftrag gegeben.

Eine der zentralen Fragen: Wie nahe kommt der digitale Euro an Bargeld und welche technischen Möglichkeiten für Anonymität gibt es? Das hat der Kryptographie-Professor Tibor Jager (Universität Wuppertal) für den Datenschutzausschuss untersucht.

Für den Kontext: Der Digitale Euro, Fach-Abkürzung „D€“, steht gerade im Fokus der EU-Institutio­nen. Die Europäische Zentralbank (EZB) treibt die technische Umsetzung voran. Parallel dazu gibt es einen Gesetzgebungsprozess, Parlament und Rat beraten gerade über den Vorschlag der Europäi­schen Kommission.

Digitale Zahlungen online und offline

In der Praxis soll der Digitale Euro online und offline funktionieren. Das Online-System kommt da ins Spiel, wo man den digitalen Euro etwa für das Einkaufen im Internet nutzt. Das Offline-System soll Bargeld mög­lichst ähnlich sein. Damit sollen etwa Privatpersonen einkaufen, aber auch Geld untereinan­der transferieren können, ohne dass eine Bank oder ein Zahlungsdienstleister das autorisieren oder mitbekommen muss. „Die Offline-Funktionalität des Digitalen Euro soll es Verbrauchern ermögli­chen, auch in Notfällen wie Strom- oder Netzwerkausfällen weiterhin Zahlungen zu tätigen“, schreibt die EZB in ihrem neuesten Fortschrittsbericht.

Tibor Jager kommt in seinem Gutachten zu dem Schluss, dass ein anonymer Offline-D€ durchaus möglich ist. „Es existiert eine Bandbreite kryptografischer Werkzeuge, die man nutzen kann, um Sicherheit vor Fälschungen sowie Anonymität auf sehr starke Weise sicherzustellen“, schreibt er. Anonymität heißt in diesem Kontext: nicht verknüpfbar. Voreinander sind Zahler und Bezahlte zwar nicht anonym, allerdings sollten Dritte den Zahlvorgang nicht nachverfolgen können.

Konkret nennt Jager unter anderem das Verfahren der Blinden Signaturen. Dadurch könnte auch sichergestellt werden, dass Banken zwar sehen, dass ein bestimmter Betrag abgehoben oder eingezahlt wird, aber nicht die Token-ID, quasi die digitale Seriennummer. Das soll die Nachver­folgung des D€ verhindern.

Das Problem mit dem „Double Spending“

Eine Problem nennt Jager im Gutachten allerdings immer wieder: Wie kann man bei Offline-Transaktionen „Double Spending“ verhindern? Also dass eine Person denselben Digitalen Euro mehrmals ausgibt. Im Vergleich zu Bargeld wandert beim digitalen Euro ja kein physischer Geldschein über den Ladentisch.

Während es laut Gutachten vergleichsweise ein­fach ist, zu verhindern, dass Unbefugte neue Digitale Euros erschaffen, sei das unbefugte Kopie­ren von D€ schwieriger zu verhindern, vor allem in einem Privatsphäre-schonenden Offline-System. Dann könnte eine Person mit ihrem D€ zweimal offline bezahlen. Aber nur der erste Empfänger könnte diesen D€ „einlösen“, bei der zweiten bezahlten Person würde das Umwandeln abgelehnt.

Unlösbar ist dieses Problem aber nicht. Laut dem Gutachten gibt es mehrere Schutzmechanismen gegen „Double Spending“:

Sichere Hardware: Schon jetzt ist geplant, dass der Digitale Euro in einer bestimmten Hardware-Umgebung auf dem Smartphone verwaltet wird, die sich durch andere Software auf dem Gerät nicht verändern lässt. Jager weist in seinem Gutachten darauf hin, dass es in der Geschichte immer wieder erfolgreiche Angriffe auf sichere Hardware-Elemen­te gegeben habe. Zudem werde die Sicherheit dieser Umgebung dadurch erschwert, dass nicht Personen von außen, sondern die Nutzer:innen selbst versuchen könnten, das System zu manipulieren. Um das Risiko gering zu halten, sollte die Hardware möglichst wenige Auf­gaben erfüllen. Dementsprechend sollten die Anonymität der Zahlungen und andere Sicherheitsmechanismen durch krypto­grafische Verfahren abgedeckt werden, die nicht auf entsprechenden Hardware-Sicherheitsmechanismen basieren.

Semi-Offline-Lösung: In diesem Szenario wäre nur die Zahlerin offline, der Bezahlte müss­te mit dem System verbunden bleiben, das dann den übertragenen D€ direkt verifizieren könnte. Auch wenn diese Idee aus Sicherheitsperspektive attraktiv ist, untergräbt sie eines der zentralen Versprechen des Offline-D€: Dass man mit ihm auch ohne Internetverbindung bezahlen kann, etwa während eines Stromausfalls.

Kleinere Einschränkungen: Das Gutachten nennt etwa Transfer-Limits, also Beschränkun­gen, wie oft und wie viel Geld mit dem Offline-D€ übertragen werden könnte. Dies mache Manipulationen weniger lukrativ. Auch aus finanzwirtschaftlicher Sicht wird beim D€ über über Halte-Limits diskutiert, also wie viele Digitale Euros man besitzen darf, bis diese in normales Bankguthaben umgewandelt würden. Das Gutachten diskutiert auch Ablaufdaten für die Tokens des Digitalen Euros.

Aufdecken statt Verhindern: Zudem könnte man sich weniger auf die Verhinderung als auf die Aufdeckung von „Double Spending“ konzentrieren. „Die Grundidee dieses Ansatzes besteht darin, einen Auditor einzuführen, der die Identität der Nutzer:innen nur in Fällen von Doppelausgaben offenlegen kann, während ehrliche Nutzer:innen bei normaler Nutzung vollständig anonym bleiben (auch gegenüber dem Auditor)“, schreibt Jager. Auch das sei durch das Blinde-Signaturen-Verfahren möglich.

Sicherheit braucht Transparenz

Alle diese Ideen führen an anderen Stellen zu Nachteilen. Diese Abwägungen müssten gut ausba­lanciert werden, heißt es in dem Gutachten. Der Idee von Security by Obscurity („Sicherheit durch Unklarheit“) erteilt das Gutachten eine klare Absage. Insgesamt könne man die Sicherheit des Digitalen Euros nur durch Transparenz erhöhen. Die technischen Anforderungen und Protokolle müssten öffentlich sein, fordert Jager. Es sollte Open-Source-Implementierungen für die entsprechende Soft- und Hardware geben. Sicherheits­forscher:innen und ethische Hacker:innen sollten aktiv ermutigt werden, das System auf Schwach­stellen zu testen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, hatte das Gutachten beim Europäischen Datenschutzausschuss angeregt. Gegenüber netzpolitik.org sagt sie: „Das Gutachten erklärt, vor welchen technischen Herausforder ungen eine anonymeOffline-Version des Digitalen Euros steht und zeigt, wie man sie lösen kann.“ Damit könne eine Bargeld-ähnliche Funktion machbar sein, die Betrug verhindert und trotzdem anonyme Zahlungen bis zu einem bestimmten Betrag ermöglicht, sagt Kamp.

„Ein hoher Datenschutzstandard ist entscheidend, um das Vertrauen der Bürger:innen in diese neue Form der Währung zu sichern. Die Möglichkeit, kleinere Beträge anonym zu bezahlen, würde den Digitalen Euro einzigartig machen und ihn von anderen digitalen Zahlungsmethoden abheben.“

Welche Datenschutzanforderungen die EU-Institutionen gesetzlich festlegen, wird sich in den kom­menden Monaten entscheiden. Nach Auskunft von Damian Boeselager (Volt, Greens/EFA), Schat­tenberichterstatter des EU-Parlaments zum Digitalen Euro, will das Parlament im Mai 2026 seine Position verabschieden. Die dänische Ratspräsidentschaft will die Position der Mitgliedsstaaten noch in diesem Jahr verabschieden, berichten mehrere Quellen. Sobald Parlament und Rat ihre Positionen beschlossen haben, kann der Trilog beginnen, also die Verhand­lung zwischen Ministerrat (den Mitgliedsstaaten), EU-Parlament und EU-Kommission.

Hinweis: Das Gutachten ist in englischer Sprache verfasst. Die direkten Zitate wurden übersetzt.