Google schließt kritische Lücke in Milliarden von Android-Apps

Google drängt Nutzer weltweit zur sofortigen Aktualisierung: Ein schwerwiegender Fehler im Chrome-Browser gefährdet die Sicherheit von Milliarden Android-Geräten und tausenden Apps. Das Unternehmen hat diese Woche ein kritisches Update veröffentlicht.

Was die Sicherheitslücke bedeutet

Der Fehler mit der Kennung CVE-2026-0628 betrifft die WebView-Komponente. Diese Technologie ist das Herzstück, mit dem Android-Apps Webinhalte anzeigen – von Banking-Apps über Social Media bis zu Hilfeseiten. Die Schwachstelle ermöglicht es Angreifern, fundamentale Sicherheitsbarrieren zu umgehen.

Konkret handelt es sich um eine „unzureichende Richtliniendurchsetzung“. Die strengen Regeln, die Webinhalte voneinander isolieren sollen – wie die Same-Origin-Policy –, funktionieren unter bestimmten Bedingungen nicht mehr. Ein Angreifer könnte so unbefugt Skripte ausführen oder auf sensible Daten zugreifen, die eigentlich geschützt sein sollten.

IT-Teams stehen unter Zeitdruck: Eine einzelne WebView‑Schwachstelle wie CVE-2026-0628 kann Hunderttausende Unternehmensgeräte gefährden — und Angreifer nutzen das Update-Fenster für n-day‑Angriffe. Studien zeigen, dass 73% deutscher Firmen unzureichend vorbereitet sind. Das kostenlose E-Book erklärt praxisnah, welche Sofortmaßnahmen IT-Verantwortliche jetzt ergreifen, wie Sie Patch-Status prüfen, Geräteflotten absichern und künftige Angriffe minimieren. Inklusive Checkliste für schnelle Kontrollen und Priorisierungen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Der Sicherheitsforscher Gal Weizman hatte die Lücke Ende November 2025 an Google gemeldet. Bislang gibt es keine Hinweise auf aktive Angriffe. Doch die tiefe Integration von WebView macht die Schwachstelle besonders gefährlich.

Warum diese Lücke so gefährlich ist

Anders als bei einem normalen Browser-Fehler betrifft CVE-2026-0628 nicht nur Chrome-Nutzer. Jede App, die WebView nutzt, war potenziell verwundbar. Das schafft eine enorme Angriffsfläche.

„WebView ist das Rendering-Rückgrat für das In-App-Browsing im gesamten Android-Ökosystem“, erklärt ein Bericht von Cybersecurity News. „Eine erfolgreiche Ausnutzung hier könnte nicht nur den Browser kompromittieren, sondern gleichzeitig Nutzerdaten und Systemsicherheit über mehrere Anwendungen hinweg gefährden.“

Besonders kritisch: Banking- und Bezahl-Apps nutzen WebView häufig für Login-Masken oder Bestätigungsseiten. Hier könnten sensible Finanzdaten auf dem Spiel stehen.

So schützen Sie sich jetzt

Google hat bereits reagiert und die stabile Chrome-Version auf 143.0.7499.192 (für Windows, macOS, Linux) bzw. .193 aktualisiert. Die Auslieferung begann am 6. Januar und läuft weltweit.

Für Desktop-Nutzer:
1. Öffnen Sie Google Chrome
2. Klicken Sie auf das Dreipunkt-Menü oben rechts
3. Navigieren Sie zu Hilfe > Über Google Chrome
4. Der Browser sucht automatisch nach Updates
5. Starten Sie Chrome neu – erst dann ist das Update aktiv

Für Android-Nutzer:
Hier erfolgt das Update über den Google Play Store. Stellen Sie sicher, dass sowohl die „Google Chrome“-App als auch die „Android System WebView“-Komponente auf die neueste Version (143.x) aktualisiert sind.

Der Wettlauf gegen die Zeit beginnt

Mit der Veröffentlichung des Patches startet ein gefährlicher Countdown. Cyberkriminelle analysieren solche Sicherheitsupdates oft, um die Schwachstelle nachzubauen. Sie hoffen auf Nutzer, die mit dem Update zögern. Diese Praxis – bekannt als „n-day“-Ausnutzung – stellt in den kommenden Wochen ein erhebliches Risiko dar.

Für Unternehmen wird die Lage besonders brisant. IT-Administratoren sollten ihre Geräteflotten dringend überprüfen, besonders wenn mobile Geräte auf Unternehmensdaten zugreifen. Jedes nicht aktualisierte Gerät ist ein potenzielles Einfallstor.

Google hält die technischen Details der Schwachstelle noch zurück – eine Standardpraxis, um weitreichenden Missbrauch während der Update-Phase zu verhindern. Erst wenn die Mehrheit der Nutzer aktualisiert hat, werden alle Informationen öffentlich.

Lehren aus der Krise

Der Vorfall markiert den ersten größeren Sicherheitseingriff bei Google 2026. Er folgt auf ein turbulentes Jahr 2025 mit mehreren Zero-Day-Lücken in der V8-JavaScript-Engine. Die schnelle Reaktion – nur Wochen nach der Meldung – zeigt, dass Googles Bug-Bounty-Programme Wirkung zeigen.

Doch die Lücke offenbart auch die Fragilität moderner Software-Lieferketten. „Die Chrome-WebView-Schwachstelle erinnert daran, dass modernes Risiko oft in vertrauten Komponenten lauert“, kommentiert Security Boulevard. „Was resiliente Organisationen auszeichnet, ist nicht die Vermeidung von Schwachstellen, sondern die Geschwindigkeit, mit der sie diese schließen.“

Die entscheidende Frage lautet nun: Wie viele Nutzer werden die Warnung ernst nehmen – und wie viele werden zum leichten Ziel für die nächste Angriffswelle?

PS: Sie müssen nicht Ihr gesamtes Budget neu aufstellen, um Angriffe wie die WebView-Exploits abzuwehren. Dieser kostenlose Leitfaden zeigt einfache, kosteneffiziente Maßnahmen — von Priorisierung der Patches und WebView‑Checks bis zu Mitarbeiter‑Schulungen und Notfallprozessen — mit Checkliste für sofortiges Handeln. Ideal für IT-Leiter und KMU, die schnell Risiko reduzieren wollen, ohne teure Neueinstellungen. Kostenlosen Leitfaden zur Cyber-Security anfordern