Google überarbeitet Android-Sicherheitssystem nach zehn Jahren
Abschied vom bewährten Monatszyklus
Google vollzieht eine fundamentale Wende in der Android-Sicherheitsstrategie. Nach einem Jahrzehnt monatlicher Updates führt der Konzern jetzt ein risikobasiertes Patch-System ein – die bislang größte Änderung in der Sicherheitsarchitektur des weltweit meistgenutzten Mobilbetriebssystems.
Das neue „Risk-Based Update System“ (RBUS) priorisiert kritische Schwachstellen für sofortige Patches, während weniger dringende Fixes in vierteljährliche Sammelupdates verschoben werden. Die Tragweite dieser Änderung zeigt sich bereits im September-Bulletin: Nach zwei nahezu leeren Monaten adressierte Google plötzlich über 110 Sicherheitslücken auf einen Schlag.
Seit 2015 veröffentlichte Google jeden Monat detaillierte Android Security Bulletins (ASB) mit sämtlichen gepatchten Sicherheitslücken. Dieses System überlastete jedoch Smartphone-Hersteller mit einer Flut kleinerer Bugfixes und verzögerte wichtige Updates für Endnutzer.
Das neue Modell konzentriert die monatlichen Efforts auf Hochrisiko-Schwachstellen – besonders solche, die bereits aktiv für Cyberangriffe genutzt werden. Mittel- und niedrigpriorisierte Bugs werden gebündelt und erst bei den großen Quartals-Updates behoben.
Dramatische Verschiebung: Drei Monate im Vergleich
Die praktischen Auswirkungen der Strategieänderung waren drastisch sichtbar. Nach zehn Jahren konstanter monatlicher Patches listete das Juli-Bulletin 2025 erstmals null neue Sicherheitsfixes. Der August folgte mit nur sechs behobenen Schwachstellen.
Der September dann der Paukenschlag: Zwischen 111 und 120 gepatchte Sicherheitslücken machten dieses Update zum ersten echten Quartals-Release. Ein Google-Sprecher betonte, das Unternehmen behebe kontinuierlich bekannte Sicherheitslücken und priorisiere dabei die „Reparatur der risikoreichsten zuerst“.
Zwei aktiv ausgenutzte Zero-Day-Lücken
Das September-Update unterstrich die neue Fokussierung auf akute Bedrohungen: Google bestätigte die Behebung zweier Zero-Day-Schwachstellen, die bereits für „begrenzte, zielgerichtete Angriffe“ genutzt wurden.
Die beiden aktiv ausgenutzten Lecks im Detail:
CVE-2025-38352: Eine Privilegienerweiterung im Linux-Kernel. Diese Race-Condition-Schwachstelle könnte lokalen Angreifern oder bösartigen Apps erweiterte Systemrechte verschaffen. Die Entdeckung durch Googles Threat Analysis Group (TAG) deutet auf hochentwickelte Spyware-Attacken hin.
CVE-2025-48543: Ein Use-after-free-Bug in der Android Runtime. Diese kritische Lücke ermöglicht Angreifern den Ausbruch aus der Chrome-Browser-Sandbox und Angriffe auf das Android-Kernsystem – ohne jegliche Nutzerinteraktion.
Beide Schwachstellen landeten umgehend im Known Exploited Vulnerabilities Catalog der US-Cybersicherheitsbehörde CISA. Bundesbehörden müssen die Fixes bis 25. September 2025 implementieren.
Anzeige: Apropos akute Bedrohungen: Viele Android-Nutzer übersehen fünf einfache Hebel, die im Alltag vor Datendieben schützen – gerade wenn Zero-Days kursieren. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking und Shopping absichern – ganz ohne teure Zusatz-Apps. Jetzt das Sicherheitspaket gratis per E‑Mail sichern: Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone
Auswirkungen auf Hersteller und Nutzer
Die risikobasierte Herangehensweise soll ein langjähriges Problem des fragmentierten Android-Ökosystems lösen: zeitnahe Updates für unzählige Geräte verschiedenster Hersteller. Durch 30-tägige Vorlaufzeiten für Partner und die Konzentration auf kritischste Patches hofft Google, die Arbeitsbelastung der Hersteller zu reduzieren und die Geschwindigkeit bei gefährlichsten Sicherheitslücken zu erhöhen.
Für Android-Nutzer bedeutet das schnelleren Schutz vor den schwersten, aktiv ausgenutzten Bedrohungen. Selbst Smartphones von Herstellern mit historisch langsameren Update-Zyklen könnten kritische Patches konsistenter erhalten.
Sicherheitsexperten warnen jedoch: Längere Wartezeiten für niedrigpriorisierte Bugs könnten Angriffsfenster öffnen, falls Details dieser Schwachstellen vor dem Quartals-Update durchsickern.
Blick nach vorn: Mehr als nur Patches
Googles neue Strategie markiert eine pragmatische Evolution bei der Absicherung des populärsten Mobilbetriebssystems. Der Fokus liegt nun auf realweltlichen Risiken statt monatlichen Patch-Statistiken.
Parallel investiert Google in grundlegende Sicherheitsmaßnahmen: Neuer Code wird verstärkt in speichersicheren Sprachen wie Rust geschrieben, um ganze Schwachstellen-Kategorien von vornherein zu verhindern. Ab 2026 plant der Konzern zusätzlich verschärfte Entwickler-Verifizierungsanforderungen – nur noch Apps von verifizierten Entwicklern sollen auf zertifizierten Android-Geräten installierbar sein.
Anzeige: Für alle, die ihr Smartphone neben Updates zusätzlich härten möchten: Ein kompakter Gratis‑Guide bündelt die fünf wichtigsten Schutzmaßnahmen – mit Checklisten und klaren Einstellungs‑Tipps, die sofort wirken. So schließen Sie häufig unterschätzte Lücken ohne Zusatz‑Apps und erhöhen Ihren Basis‑Schutz in Minuten. Jetzt kostenlos herunterladen: 5 Schutzmaßnahmen für Ihr Android‑Smartphone
Nutzer sollten das September-Update umgehend installieren, sobald es für ihr Gerät verfügbar wird. Die aktuelle Patch-Stufe lässt sich in den Einstellungen unter „Über das Telefon“ und „Software-Updates“ prüfen. Android-Phones mit Patch-Level 2025-09-05 oder neuer sind gegen die neuesten Bedrohungen geschützt.
