Qualcomm warnt vor kritischen Sicherheitslücken in Millionen Geräten

Der Chipriese Qualcomm hat mehrere schwerwiegende Sicherheitslücken offengelegt, die ferngesteuerte Angriffe auf unzählige Geräte ermöglichen. Besonders brisant: Eine der Schwachstellen erfordert keinerlei Benutzerinteraktion für eine Ausnutzung.

Die am 4. Mai veröffentlichten Sicherheitsupdates betreffen eine Vielzahl von Komponenten – von der Softwareverwaltung bis hin zur Hardware-Firmware. Die kanadische Cybersicherheitsbehörde hat bereits eine entsprechende Warnung herausgegeben. Experten fordern die Gerätehersteller nun zum sofortigen Handeln auf.

Angesichts solch kritischer Sicherheitslücken wird deutlich, wie verwundbar mobile Endgeräte ohne die neuesten Schutzvorkehrungen sind. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv gegen Hacker und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Software-Zentrale mit höchstem Risiko

Die gefährlichste Lücke trägt die Kennung CVE-2026-25254 und erreicht einen CVSS-Wert von 9,8 – nahe der Höchstmarke. Der Fehler steckt im Qualcomm Software Center, genauer gesagt in der SocketIO-Schnittstelle. Unzureichende Autorisierungsmechanismen ermöglichen es Angreifern, aus der Ferne beliebigen Code auszuführen.

Betroffen sind die Versionen 1.17.1, 1.19.1 und 1.21.0 des Software Centers. Der Sicherheitsforscher Aaron Thacker hatte das Problem bereits im Januar gemeldet. Für Unternehmen und Industriekunden, die auf Qualcomms Verwaltungstools angewiesen sind, hat die Installation des Patches höchste Priorität.

Firmware-Lücken gefährden Smart Home und Industrie

Nicht weniger alarmierend ist eine Schwachstelle in der Power-Line-Communication-Firmware: CVE-2026-25293 (CVSS 9,6). Auch hier führen fehlerhafte Autorisierungsprüfungen zu einem Pufferüberlauf. Das Besondere: Angreifer im selben Netzwerk können die Lücke ausnutzen, ohne physischen Zugriff zu haben. Betroffen ist der Chip QCA7005, der in Smart-Home-Zentralen und industriellen IoT-Geräten steckt.

Eine weitere kritische Lücke betrifft den Primary Bootloader. Der von Alexander Kozlov (Kaspersky ICS CERT) entdeckte Fehler CVE-2026-25262 ermöglicht eine Speichermanipulation über das Sahara-Protokoll – eine Schnittstelle, die im Notfall-Modus zum Einsatz kommt. Zwar ist dafür physischer Zugriff nötig, doch einmal ausgenutzt, lässt sich die gesamte Secure-Boot-Kette umgehen. Betroffen sind ältere Chipsätze wie der MSM8909, MSM8916 und SDX50, die in smartphones und Autokomponenten verbaut sind.

Autoindustrie und Smartphones im Visier

Auch die Automobilbranche bleibt nicht verschont. Die Schwachstelle CVE-2026-24082 (CVSS 7,8) betrifft die Automotive-GPU und kann zu Speicherfehlern im digitalen Cockpit führen. Ein weiterer Fehler im Qualcomm Package Manager (CVE-2026-25255) erlaubt Angreifern mit niedrigen Zugriffsrechten, ihre Privilegien auszuweiten.

Qualcomm hat die Patches bereits an seine Partner – darunter große Smartphone-Hersteller und Automobilzulieferer – verteilt. Wann die Updates jedoch bei den Endnutzern ankommen, hängt von den Update-Zyklen der einzelnen Hersteller ab.

Die Gefahr des „Patch-Gaps"

Die Dringlichkeit der aktuellen Updates wird durch die jüngste Vergangenheit unterstrichen. Erst im März 2026 bestätigten Google und Qualcomm, dass eine weitere Schwachstelle (CVE-2026-21385) aktiv ausgenutzt wurde. Zwar gibt es bislang keine Hinweise auf Angriffe über die aktuell gemeldeten Lücken, doch die Komplexität der Halbleiter-Lieferkette führt regelmäßig zu erheblichen Verzögerungen bei der Auslieferung von Sicherheitsupdates.

Für ältere Geräte, die keinen Support mehr erhalten – insbesondere solche mit dem BootROM-Fehler im Sahara-Protokoll – empfehlen Sicherheitsexperten den Umstieg auf neuere Plattformen.

Viele Nutzer unterschätzen, was technisch auf ihrem Gerät passiert, wenn kritische Sicherheits-Updates ignoriert werden oder zu spät eintreffen. Ein kostenloser PDF-Ratgeber klärt über die Risiken auf und zeigt, wie Sie durch das richtige Update-Management Datenverlust und Malware dauerhaft verhindern. Kostenlosen Android-Update-Guide jetzt sichern

Update-Fahrplan für betroffene Geräte

Samsung und Google werden die Qualcomm-Fixes voraussichtlich in ihre Juni-Sicherheitsupdates einbauen. Besitzer von Flaggschiff-Geräten der letzten drei Jahre können innerhalb von 30 bis 60 Tagen mit den Patches rechnen. Bei Mittelklasse- und Budget-Modellen könnte es länger dauern.

Betreiber von industriellen IoT-Netzwerken und Fahrzeugflotten sollten umgehend prüfen, ob die betroffenen Chipsätze (QCA7005, SDX50) verbaut sind. Als Übergangslösung empfehlen Experten die Netzwerksegmentierung und die Einschränkung des physischen Zugriffs auf Geräteanschlüsse.

de | wissenschaft | 69294064 |