Es ist einer dieser Momente, wo „Update später“ keine gute Idee ist. Apple schlägt Alarm. Nicht leise, nicht vorsichtig, sondern ziemlich klar: Eine aktiv ausgenutzte Sicherheitslücke bedroht iPhones und iPads. Parallel dazu zeigt sich bei Android ein Problem, das größer kaum sein könnte. Rund eine Milliarde Geräte bekommen faktisch keinen Schutz mehr. Zwei Systeme, zwei Welten – ein gemeinsames Risiko.
iOS: Zero-Day im Herzen des Systems
Apple hat Ende Dezember bestätigt, dass zwei Zero-Day-Schwachstellen in WebKit entdeckt wurden. WebKit ist keine Randkomponente. Es ist der Browser-Motor von Safari – und auf iOS sogar Basis für alle Browser, auch Chrome oder Firefox. Wenn WebKit fällt, fällt alles.
Die Lücken erlauben es Angreifern, beliebigen Code über manipulierte Webseiten auszuführen. Im Worst Case: Zugriff auf Passwörter, Zahlungsdaten, Session-Tokens. Apple spricht selbst von einem „extremely sophisticated attack“. Übersetzt: kein Script-Kiddie, sondern gezielte, professionelle Angriffe.
Wer ist betroffen?
- iPhone 11 und neuer
- iPad Pro ab 2018
- iPad Air ab Gen 3
- iPad ab Gen 8
- iPad mini ab Gen 5
Die Lösung ist banal, aber zwingend: Update auf iOS 26.2 bzw. iPadOS 26.2. Ein Klick. Wer automatische Updates deaktiviert hat, läuft aktuell offen durch den digitalen Regen.
Technisch spannend: Apple hat 2025 bereits mindestens sieben Zero-Days gepatcht. Das ist viel. Und es zeigt, wie attraktiv iOS inzwischen als Angriffsziel ist – gerade für gezielte Überwachungs- oder Spionage-Szenarien.
Android: Das größere, leisere Problem
Während Apple laut warnt, passiert bei Android etwas viel Gefährlicheres: Stille Erosion.
Aktuelle Schätzungen gehen davon aus, dass über 30 % aller Android-Geräte keine Sicherheitsupdates mehr erhalten. Das sind grob eine Milliarde Smartphones weltweit. Nicht, weil sie kaputt sind. Sondern weil Hersteller-Support endet, Carrier blockieren oder Updates nie ausgerollt werden.
Android-Update-Problem konkret erklärt: Eine Milliarde Geräte betrifft es wirklich
Die oft zitierte Zahl von über einer Milliarde Android-Smartphones ohne Sicherheitsupdates ist kein unbelegter Tech-Mythos, sondern Ergebnis der Fragmentierung und der Update-Realität im Android-Ökosystem. StatCounter-Analysen zeigen: mehr als 30 % aller aktiven Android-Nutzer laufen noch auf Android 13 oder älteren Versionen, für die viele Hersteller den Patch-Support bereits eingestellt haben. Setzt man diese Prozentzahl auf die geschätzten rund 3,9 Milliarden Android-Geräte weltweit, kommt man auf über eine Milliarde Geräte, die aktuell keine regelmäßigen Sicherheitspatches mehr erhalten.
Warum ist das so? Android-Updates durchlaufen mehrere „Hände“ bevor sie bei dir ankommen:
- Google veröffentlicht monatliche Sicherheits-Bulletins, aber das deckt nur den Vanilla-Android-Core ab.
- Hersteller wie Samsung, Xiaomi, Oppo etc. müssen diese Patches in ihre Firmware integrieren und das in Eigenregie anpassen.
- Carrier testen Updates zusätzlich und verzögern sie oft territorial oder blockieren sie komplett.
- Viele Geräte sind älter als der offizielle Support-Zeitraum (typisch 2–4 Jahre), daher stellt der OEM die Updates ein. trio.so+1
Das Ergebnis sind große Versionen wie Android 12, 13 oder sogar ältere Builds, die auf Millionen Geräten im Feld laufen ohne aktuelle Sicherheitspatches. Studien aus Sicherheitsberichten zeigen, dass ein erheblicher Anteil der installierten Android-Betriebssysteme veraltet ist und bekannte Schwachstellen enthält, die nie gepatcht wurden.
Für Nutzer bedeutet das konkret: Selbst wenn dein Android-Gerät im Alltag noch flüssig läuft, kann es für Angriffe offenstehen, weil neu entdeckte Exploits auf älteren Systemversionen nicht mehr behoben werden. Das macht Android-Fragmentierung nicht nur zu einem theoretischen, sondern zu einem praktischen Sicherheitsproblem für eine gewaltige Anzahl von Geräten weltweit.
Das strukturelle Problem
Android-Sicherheitsfixes kommen monatlich von Google. Aber:
- Hersteller müssen sie integrieren
- Anbieter testen, verzögern oder streichen sie
- Günstige Geräte fallen früh raus
Das Ergebnis: Selbst bekannte, aktiv ausgenutzte Schwachstellen bleiben monatelang offen. Banking-Apps, Messenger, Passwort-Manager laufen auf Systemen, die objektiv verwundbar sind.
Besonders bitter: Das Google-Play-System-Update, eigentlich gedacht als Rettungsanker außerhalb klassischer Firmware-Updates, hat zuletzt selbst für Chaos gesorgt. Verschwundene Apps, zurückgesetzte Berechtigungen, Login-Probleme. Sicherheit ja, Stabilität nein.
Systemsicht: Zwei Philosophien, ein Risiko
Apple kontrolliert alles. Hardware, Software, Updates. Das ermöglicht schnelle Reaktionen – aber auch eine hohe Fallhöhe, wenn es kracht. Android ist offen, fragmentiert, skalierbar. Gut für Vielfalt, schlecht für Sicherheit auf Masse.
Die Realität:
- iOS-User sind kurzfristig stark gefährdet, aber schnell wieder sicher
- Android-User sind dauerhaft moderat gefährdet, oft ohne es zu merken
Das eine ist ein Feueralarm. Das andere ein schwelender Kabelbrand in der Wand.
Was du jetzt konkret tun solltest
iPhone / iPad
- Update sofort installieren
- Automatische Updates aktivieren
- Vorsicht bei unbekannten Links – auch von „Bekannten“
Android
- Sicherheits-Patch-Level prüfen
- Wenn älter als 6–9 Monate: Risiko realistisch einschätzen
- Banking & sensible Apps kritisch hinterfragen
- Bei Neuanschaffung: Update-Garantie vor Kauf prüfen
Fazit
Mobile Sicherheit ist gerade kein Randthema. Sie ist Systemfrage. Apple zeigt, wie verwundbar selbst kontrollierte Ökosysteme sind. Android zeigt, was passiert, wenn Verantwortung verteilt wird – und am Ende keiner zuständig ist.
Das ist kein Hype. Das ist Infrastruktur. Und die wackelt gerade ordentlich.
