Passwörter in 45 Sekunden gestohlen

45 Sekunden, ein USB-Kabel – und der Zugriff auf alles. Eine Sicherheitslücke in Millionen Android-Geräten alarmiert Experten weltweit.

Sicherheitsforschern ist eine schwerwiegende Lücke in MediaTek-Prozessoren aufgefallen, die nach aktuellen Schätzungen rund ein Viertel aller weltweit genutzten Android-Geräte betrifft. Was die Entdeckung besonders brisant macht: Ein Angriff setzt weder eine manipulierte App noch irgendeine Aktion des Geräteinhabers voraus. Angreifer benötigen lediglich kurzen physischen Zugang zum Smartphone – und schon lassen sich Passwörter, Nachrichten oder Kryptowährungszugänge in unter einer Minute abgreifen.

Das Forschungsteam des Unternehmens Ledger hat die Schwachstelle anhand des Nothing CMF Phone 1 demonstriert. Per USB-Kabel an einen handelsüblichen Laptop angeschlossen, gelang es den Forschern, den PIN-Code des Geräts in gerade einmal 45 Sekunden zu überwinden – und das noch bevor das Betriebssystem überhaupt hochgefahren war. Auf diesem Weg lassen sich die Hauptschlüssel zur Entschlüsselung des gesamten Gerätespeichers extrahieren.

Wallets im Visier

Sind diese Schlüssel erst einmal in fremden Händen, können die gespeicherten Daten auch offline ausgelesen werden – selbst dann, wenn das Telefon inzwischen ausgeschaltet oder neu gesichert wurde. Besonders gefährdet sind dabei Nutzer populärer digitaler Wallets wie Kraken, Trust Wallet oder Phantom. Im Fokus stehen vor allem Android-Smartphones der mittleren und unteren Preisklasse, die auf MediaTek-Chips und das Sicherheitssystem von Trustonic setzen.

Patch verfügbar

MediaTek hat nach Bekanntwerden der Lücke bereits einen Patch an die betroffenen Gerätehersteller – darunter Samsung, Xiaomi und Realme – weitergegeben. Die unter der Kennung CVE-2026-20435 geführte Sicherheitslücke betrifft zudem Smartphones von OPPO, vivo und OnePlus. Das eigentliche Problem liegt jedoch beim Endnutzer: Das Update muss manuell installiert werden, und solange das nicht geschehen ist, bleibt das Gerät angreifbar.

Fachleute betonen, dass Smartphones von Grund auf nicht als sichere Aufbewahrungsorte für digitale Vermögenswerte konzipiert wurden. Wer sensible Zugangsdaten oder Kryptowährungen auf dem Handy verwahrt, sollte umgehend die Systemeinstellungen prüfen und alle verfügbaren Updates einspielen.

Ein unbeaufsichtigtes Gerät kann buchstäblich innerhalb einer Minute zur Quelle erheblicher Verluste werden, wie das Portal Telegraf.rs berichtet.