Patchday: Androids Schlüsselspeichersystem für Attacken anfällig

Angreifer können Android-Smartphones ins Visier nehmen und Geräte unter anderem abstürzen lassen. Zusätzlich sind unbefugte Zugriffe auf eigentlich abgeschottete kryptografische Schlüssel möglich. Sicherheitspatches für ausgewählte Geräte lösen die Sicherheitsprobleme.

Wie aus einem Beitrag von Google hervorgeht, haben die Entwickler an diesem Patchday zwei Sicherheitslücken geschlossen. Seit Juli 2025 kümmert sich der Smartphonehersteller monatlich nur noch um seiner Einschätzung nach besonders gefährliche Schwachstellen. Weitere Sicherheitspatches folgen quartalsweise.

DoS und Schlüssel-Leak

Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen. Wer ein im Support befindliches Pixel-Smartphone besitzt, sollte sicherstellen, dass das Patch Level 2026-04-01 oder 2026-04-05 installiert ist. Neben Google stellen auch unter anderem Huawei und Samsung monatlich Sicherheitsupdates für ausgewählte Geräte zum Download bereit (siehe Kasten).

Diesen Monat gilt eine „kritische“ DoS-Lücke (CVE-2026-0049) in Android 14, 15, 16 und 16-qpr2 am gefährlichsten. Daran sollen Angreifer ohne zusätzliche Ausführungsrechte ansetzen können. Wie Attacken im Detail ablaufen und welcher Dienst/Prozess nach einer erfolgreichen Attacke konkret abstürzt, ist bislang unklar.

Eine Schwachstelle in Androids Schlüsselspeichersystem StrongBox (CVE-2025-48651 „hoch“) betrifft verschiedene Komponenten von etwa NXP und Thales. Was Angreifer nach erfolgreichen Attacken konkret anstellen können, geht aus der Beschreibung der Lücke nicht hervor. Da Android in dem Hardware Security Module (HSM) kryptografische Schlüssel speichert, liegen unbefugte Zugriffe nahe.

(des)