Ein Software-Update der auf Motorola-Smartphones vorinstallierten Smart-Feed-App leitet Nutzer beim Öffnen der Amazon-App über den Browser um, um dann Affiliate-Codes einzuschleusen. Betroffen sind offenbar auch Besitzerinnen und Besitzer von High-End-Geräten wie dem Razr 60 Ultra. Unklar sind derweil die konkreten Hintergründe.

Eingeschleuste Affiliate-Codes

„Mir ist in letzter Zeit etwas Seltsames an meinem Razr 60 Ultra aufgefallen: Wenn ich versucht habe, die Amazon-App zu öffnen, wurde stattdessen der Browser gestartet und ich wurde auf eine verdächtig aussehende URL weitergeleitet, die mich dann mit einem Partnercode zu amazon.com weiterleitete“, berichtet der Redditor Trypocopris.

Um dem genauer auf den Grund zu gehen, hat Trypocopris per ADB Log einen Blick auf den Netzwerkverkehr seines Smartphones geworfen. Dieser zeigte auf, dass eine Reihe von Anfragen an die Adresse „devicenative.com“ gesendet werden. Seine Vermutung: Diese Seite teile dem Programm mit, auf welche Apps es abzielen und welche Affiliate-Codes es verwenden soll. Dieser Prozess geht offenbar auf die Smart-Feed-App zurück, die Motorola auf vielen seiner Smartphones vorinstalliert hat.

„Wenn man dann im Launcher auf die App klickt, fängt es die Aktion ab und leitet einen zu ihrem Affiliate-Link weiter. Hätte ich die Option ‚Links standardmäßig in der App öffnen‘ nicht deaktiviert, hätte ich gar nicht bemerkt, dass etwas nicht stimmt“, schreibt der Redditor weiter.

Das Blog 9to5Google kann die Beobachtung des Redditors verifizieren und auch eingrenzen, ab welcher Version der Smart-Feed-App die Affiliate-Links injiziert werden: Auf einem Razr (2026) mit einer älteren Version der App (v2.03.0056) trete dies noch nicht auf, sondern erst mit der App-Version 2.03.0070 zeige sich das Verhalten.

Unklarheiten

9to5Google ging dem Ganzen weiter auf den Grund und stellte fest, dass eine Weiterleitung des Verkehrs über eine Website laufe, die mit einer Mode-Influencerin in Verbindung stehen soll. Die entdeckte URL tauche jedoch nirgendwo in Abbouds sozialen Kanälen aufgeführt auf und auch die Affiliate-Codes stimmen nicht mit ihren bekannten überein, heißt es. Die Weiterleitung von Motorola-Geräten verwende ferner den Amazon-Affiliate-Code „sramz-kff-008-20“, der sich von allen Codes unterscheide, die das Blog in den geteilten Links und den verlinkten Websites der Influencerin gefunden habe.

Derzeit ist unklar, wer konkret hinter der Masche steckt und wie die Smart-Feed-App für das Injizieren des Affiliate-Codes manipuliert werden konnte. Ob Motorola dahinter steckt, ist unklar. Auch ein Fehler in einem vorinstallierten Werbe-SDK könnte dieses Phänomen ausgelöst haben. Eine Anfrage von heise online bei Motorola blieb bis zur Veröffentlichung des Artikels noch unbeantwortet.

Abschalten

Falls die App auf einem Gerät vorinstalliert sein sollte, können Nutzerinnen und Nutzer sie deaktivieren. Hierfür öffnet man die Einstellungen, begibt sich zum Punkt „Apps“ und sucht dort nach „Smart Feed“. Hier wählt man nun „Deaktivieren“, um das Tracking zu stoppen.

(afl)

Ein Cyberangriff auf den saarländischen Abrechnungsdienstleister Unimed betrifft bundesweit zahlreiche Kliniken. Nach eigenen Angaben betreut das Unternehmen 95 Prozent aller Universitätskliniken in Deutschland sowie 51 Prozent aller Kliniken mit mehr als 600 Betten. Den betroffenen Häusern zufolge wurden dabei Patientendaten von zehntausenden Privatpatienten und Selbstzahlern entwendet. Die Kliniken selbst betonen, dass ihre internen Systeme und die Patientenversorgung nicht in Mitleidenschaft gezogen worden seien.

Der Angriff ereignete sich laut Unimed bereits Mitte April 2026. Das Unternehmen teilte mit, der Vorfall sei dem Landeskriminalamt Saarland gemeldet worden. Nach Darstellung von Unimed wollten die Angreifer die Systeme verschlüsseln. Das sei zwar verhindert worden, allerdings seien vor der Abwehr aus einem „begrenzten Bereich“ Daten abgeflossen. Darunter befand sich laut Unimed auch Kommunikation zu Abrechnungswidersprüchen.

Auf Nachfrage zu den weiteren betroffenen Einrichtungen erklärte Unimed: „Bitte haben Sie Verständnis, dass wir als Dienstleister keine darüber hinaus gehenden Angaben zu unseren Kunden und deren Daten machen können“. Auch zum Angriffsvektor machte Unimed keine Angaben.

Kliniken veröffentlichen Zahlen

Inzwischen haben zahlreiche Kliniken konkrete Zahlen veröffentlicht. Besonders stark betroffen ist das Universitätsklinikum Freiburg: Dort wurden nach Angaben der Klinik Stammdaten von rund 54.000 Patientinnen und Patienten entwendet, darunter Namen, Adressen und Geburtsdaten. In rund 900 Fällen seien zusätzlich Rechnungsdaten betroffen, aus denen sich Diagnosen und Behandlungsarten ableiten lassen könnten. In wenigen Fällen seien auch Kontodaten abgeflossen. Die Uniklinik Köln meldet rund 30.000 betroffene Datensätze. Darunter seien 843 Fälle mit Gesundheitsdaten sowie fünf Fälle mit Finanzdaten wie IBAN oder Kontonummern.

Am Universitätsklinikum Düsseldorf geht es um mehr als 3.000 Fälle mit allgemeinen Patientendaten sowie 162 Fälle, bei denen auch Gesundheitsdaten betroffen sein könnten. Die Universitätsmedizin Mainz spricht von bis zu 2.764 betroffenen Privatpatienten und Selbstzahlern.

Weitere Fälle meldeten unter anderem Ulm, Mannheim sowie das Universitätsklinikum des Saarlands in Homburg. Dort sollen 1.266 Patientinnen und Patienten betroffen sein. In Ulm sind rund 1.600 Patienten betroffen, in etwa 300 Fällen könnten zudem Diagnose- und Behandlungsdaten abgeflossen sein. Mannheim meldet rund 3.000 Betroffene und einen Fall mit kompromittierten Finanzdaten. Auch Heidelberg und Tübingen bestätigen Vorfälle, nannten bislang jedoch keine detaillierten Zahlen.

Mehrere der betroffenen Kliniken erklärten, die Datenübertragung an Unimed unmittelbar nach Bekanntwerden des Vorfalls gestoppt zu haben. Zudem seien Datenschutzbehörden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert worden. Viele Häuser kündigten an, betroffene Personen schriftlich zu benachrichtigen und rechtliche Schritte zu prüfen. Unimed erklärte am Freitag, die Systeme seien inzwischen wieder vollständig arbeitsfähig. Externe IT-Forensiker hätten die Infrastruktur untersucht und abgesichert. Hinweise darauf, dass sich noch Angreifer im System befinden, gebe es Unimed zufolge nicht.

Ransomware bei Abrechnungsdienstleister betrifft Kassenpatienten in Niedersachsen

Erst vor wenigen Tagen wurde bekannt, dass nach einem Cyberangriff auf die Arbeitsgemeinschaft Wirtschaftlichkeitsprüfung Niedersachsen (Arwini e. V.) ebenfalls sensible Gesundheits- und Abrechnungsdaten abgeflossen sind. Arwini prüft im Auftrag gesetzlicher Krankenkassen und der Kassenärztlichen Vereinigung Niedersachsen die Wirtschaftlichkeit ärztlicher Verordnungen. Die Polizeidirektion Hannover bestätigte gegenüber heise online, dass hinter dem Angriff die Ransomware-Gruppe „Kairos“ steckt. Die Täter drohen dort mit der Veröffentlichung eines angeblich 2,87 Terabyte großen Datensatzes. Wer für den erfolgreichen Angriff auf Unimed verantwortlich ist, ist noch nicht bekannt.

Bei Arwini könnten nach Angaben des Unternehmens bis zu 75.000 Datensätze betroffen sein. Die Kassenärztliche Vereinigung Niedersachsen erklärte, an die Prüfstelle würden quartalsweise pseudonymisierte Abrechnungsdaten übermittelt. Zwar seien Patientendaten anonymisiert, allerdings enthielten die Datensätze arztbezogene Informationen wie Arztnummern und Betriebsstättennummern, sodass Praxen identifizierbar bleiben. Nach Angaben der Polizei stehen die Ermittler wegen der Gruppe „Kairos“ im internationalen Austausch.

(mack)

Die Drupal-Entwickler warnen vor Attacken auf mit dem Content-Management-System (CMS) erstellte Internetseiten. Im Anschluss haben Angreifer Zugriff auf eigentlich abgeschottete Daten. Sie können sich aber auch höhere Rechte verschaffen oder sogar Schadcode aus der Ferne ausführen. Sicherheitsupdates stehen zum Download bereit.

Kritische Schadcode-Lücke

Wie aus einer mittlerweile um die Warnung vor laufenden Attacken aktualisierten Meldung des Softwareherstellers hervorgeht, ist die Sicherheitslücke (CVE-2026-9082) mit dem Bedrohungsgrad „kritisch“ eingestuft. Sie betrifft ausschließlich Websites, die PostgreSQL nutzen. Ist das der Fall, setzen Angreifer mit präparierten SQL-Injection-Attacken an der Schwachstelle an. Attacken sollen ohne Authentifizierung möglich sein. Wie Angriffe im Detail ablaufen, führen die Drupal-Entwickler derzeit nicht aus. Unklar ist zurzeit auch, in welchem Umfang die Attacken ablaufen.

Die Entwickler haben schon vor dem Erscheinen des Sicherheitspatches vor möglichen Attacken gewarnt und Admins in einer Meldung auf das Erscheinen des Updates vorbereitet.

Instanzen vor Attacken schützen

Von der Lücke sind auch Drupal-Versionen betroffen, für die der Support ausgelaufen ist. Aufgrund der Dringlichkeit haben die Entwickler aber trotzdem Sicherheitsupdates veröffentlicht. Sie geben an, die folgenden Ausgaben gegen die laufenden Attacken gerüstet zu haben:

• Drupal 8.9
• Drupal 9.5
• Drupal 10.4.10
• Drupal 10.5.10
• Drupal 10.6.9
• Drupal 11.1.10
• Drupal 11.2.12
• Drupal 11.3.10

Die Entwickler weisen darauf hin, dass nicht mehr im Support befindliche Ausgaben zwar dieses Sicherheitsupdate bekommen, sie aber nach wie vor über ältere Schwachstellen angreifbar sind. Demzufolge sollten Webadmins ein Upgrade auf eine noch unterstützte Version durchführen.

(des)