Microsoft Edge für Android: Gefährliche Sicherheitslücke erlaubt Phishing-Angriffe

Eine neue Sicherheitslücke in Microsoft Edge für Android könnte Nutzer auf gefälschte Webseiten locken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der Schwachstelle, die bereits in der aktuellen Version behoben wurde.

Adressleiste zeigt falsche Webseiten an

Die als CVE-2025-62224 registrierte Lücke ermöglicht es Angreifern, die Browser-Oberfläche zu manipulieren. Betroffen ist die Darstellung der Adressleiste – jenes Elements, das Nutzern normalerweise Sicherheit vermittelt. „Die Schwachstelle erlaubt es einer schädlichen Webseite, gefälschte URLs oder Sicherheitssymbole anzuzeigen”, erklärt das Microsoft Security Response Center (MSRC). Nutzer könnten so glauben, sich auf der echten Seite ihrer Bank oder ihres E-Mail-Anbieters zu befinden, während sie tatsächlich auf einer Phishing-Seite sind.

Besonders tückisch: Auf Smartphones ist die Erkennung solcher Fälschungen schwieriger. Der begrenzte Bildschirmplatz zwingt Browser zu kompakten Oberflächen. Wo Desktop-Browser noch ausführliche Sicherheitshinweise anzeigen können, bleibt mobil oft nur die Adressleiste als Vertrauensanker – genau das Element, das hier manipuliert werden kann.

Gefälschte Adressleisten wie bei CVE-2025-62224 machen Phishing unsichtbar — besonders auf Smartphones. Ein kostenloses Anti-Phishing-Paket erklärt in einer klaren 4‑Schritte-Anleitung, wie Sie gefälschte Seiten erkennen, Mitarbeiter schützen und technische sowie organisatorische Gegenmaßnahmen umsetzen. Ideal für Privatanwender und IT-Verantwortliche, die sofort handeln wollen. Der Guide enthält konkrete Checklisten und Beispiele, die Sie sofort anwenden können. Anti-Phishing-Paket herunterladen

Mittelere Bewertung, hohes Risiko

Microsoft stuft die Lücke mit „mittel” (CVSS 5.5) ein, doch Sicherheitsexperten sehen praktisch größere Gefahren. „Bei Spoofing-Angriffen geht es nicht um direkten Code-Zugriff, sondern um Überzeugungskraft”, analysiert ein Cybersicherheitsexperte. „Wenn die Adressleiste einer vertrauenswürdigen Seite gleicht, geben die meisten Nutzer bereitwillig ihre Daten preis.”

Das Problem trifft einen sensiblen Punkt: Immer mehr Deutsche erledigen Bankgeschäfte und wichtige Logins über ihr Smartphone. Zwei-Faktor-Authentifizierung hilft hier wenig, wenn bereits die erste Eingabe auf einer gefälschten Seite erfolgt. Die Lücke betrifft alle Edge-Versionen auf Chromium-Basis für Android-Geräte.

Update sofort installieren

Microsoft hat bereits reagiert. Seit diesem Wochenende rollt das Unternehmen gepatchte Versionen über den Google Play Store aus. „Alle Nutzer sollten umgehend die neueste App-Version installieren”, empfiehlt das Unternehmen in seinem Security Update Guide. Für Unternehmen mit verwalteten Geräteflotten gilt besondere Dringlichkeit: Systemadministratoren müssen sicherstellen, dass alle Geräte das Update erhalten haben.

Für Privatanwender ist die Lösung einfach: Im Play Store nach „Microsoft Edge: AI Browser” suchen und das Update dieser Woche installieren. Sicherheitsexperten raten zusätzlich zu gesunder Skepsis: „Auch nach dem Update sollten Nutzer URLs genau prüfen und verdächtige Links in E-Mails oder SMS meiden.”

Altes Problem in neuer Form

Die aktuelle Schwachstelle erinnert an ähnliche Fälle aus der Vergangenheit. Bereits 2020 entdeckten Forscher vergleichbare Lücken in mehreren mobilen Browsern, bei denen JavaScript-Tricks die Adressleiste manipulierten. Dass das Problem 2026 erneut auftritt, zeigt den Zielkonflikt zwischen Benutzerfreundlichkeit und Sicherheit.

Browser-Hersteller reduzieren Werkzeugleisten, um mehr Platz für Webinhalte zu schaffen. Doch genau dieser Platz fehlt dann für eindeutige Sicherheitshinweise. „Die Wiederholung solcher Schwachstellen zeigt, dass reine visuelle Indikatoren auf kleinen Bildschirmen nicht ausreichen”, so eine Branchenanalyse.

KI als künftige Lösung?

Die Entdeckung von CVE-2025-62224 dürfte die Diskussion über mobile Browsersicherheit neu entfachen. Experten erwarten, dass Anbieter künftig stärker auf KI-gestützte Erkennung setzen werden. Solche Systeme könnten betrügerische Seiten erkennen und blockieren, bevor sie überhaupt angezeigt werden.

Bis dahin bleibt die Situation klassisch: Sobald eine Lücke bekannt wird, beginnt ein Wettlauf zwischen Herstellern und Angreifern. Mit dem jetzt verfügbaren Patch schließt sich das Zeitfenster für Attacken – vorausgesetzt, Nutzer handeln schnell. Für Millionen Android-Nutzer in Deutschland heißt das konkret: Edge-Update prüfen und installieren.

PS: Wussten Sie, dass viele Phishing-Angriffe mit nur wenigen visuellen Tricks enorm überzeugend wirken? Das kostenlose Anti-Phishing-Paket bietet praxisnahe Beispiele, erklärt psychologische Angriffsmuster (inkl. CEO‑Fraud) und liefert eine Checkliste zur Sofort-Abwehr. So reduzieren Sie das Risiko bei mobilen Logins und sind besser vorbereitet auf manipulierte Browser-Oberflächen. Jetzt Anti-Phishing-Guide sichern