Google patcht über 100 Android-Sicherheitslücken
Googles September-Update behebt über 100 Schwachstellen, darunter zwei bereits aktiv ausgenutzte Zero-Day-Lücken, die Angreifern erweiterte Rechte auf Android-Geräten ermöglichen.
Google veröffentlicht kritisches September-Update gegen aktive Cyberangriffe.
Das September-Sicherheitsupdate für Android ist da – und es hat es in sich. Google schließt mehr als 100 Schwachstellen, darunter zwei besonders brisante Sicherheitslücken, die bereits von Angreifern ausgenutzt werden. Nutzer sollten ihre Geräte sofort aktualisieren.
Die Dimension dieses Updates ist beachtlich: Mit 120 behobenen Softwarefehlern handelt es sich um das umfangreichste Sicherheitspaket des Jahres. Besonders alarmierend sind dabei zwei sogenannte Zero-Day-Schwachstellen, bei denen Hacker bereits zugeschlagen haben, bevor ein Patch verfügbar war.
Zwei aktiv ausgenutzte Sicherheitslücken im Fokus
Die größte Gefahr geht von CVE-2025-38352 und CVE-2025-48543 aus. Beide Schwachstellen ermöglichen es Angreifern, sich erweiterte Rechte auf Android-Geräten zu verschaffen – ohne dass der Nutzer etwas davon mitbekommt.
Die erste Lücke steckt im Linux-Kernel, die zweite in der Android Runtime (ART), dem System für App-Ausführung. Googles Threat Analysis Group entdeckte die Kernel-Schwachstelle – ein Indiz dafür, dass sie möglicherweise für hochentwickelte Spyware-Angriffe genutzt wurde.
Haben Cyberkriminelle erst einmal diese erweiterten Rechte, können sie Nutzerdaten stehlen oder Schadsoftware installieren. Google bestätigt „begrenzte, gezielte Angriffe“ mit beiden Schwachstellen.
Kritische Fernzugriffs-Lücke geschlossen
Neben den Zero-Day-Exploits patcht Google eine als „kritisch“ eingestufte Schwachstelle (CVE-2025-48539) in der Systemkomponente. Diese erlaubt Fernzugriff ohne zusätzliche Rechte oder Nutzerinteraktion.
Besonders perfide: Ein Angreifer muss sich nur in der Nähe des Zielgeräts befinden, um beliebigen Code ausführen zu können. Dutzende weitere hochgradige Sicherheitslücken in Framework und Widevine DRM wurden ebenfalls behoben.
Pixel-Geräte erhalten Update zuerst
Google hat das Update bereits für seine Pixel-Smartphones ab der 6er-Serie freigegeben. Das Unternehmen teilt die Patches in zwei Stufen auf: 2025-09-01 und 2025-09-05. Wer die spätere Version installiert hat, ist gegen alle beschriebenen Bedrohungen geschützt.
Die Patches gelten für Android 13, 14, 15 und 16. Pixel-Nutzer profitieren zusätzlich von Verbesserungen bei Anrufqualität, Kamera-Stabilität und Bluetooth-Performance.
Fragmentierte Android-Sicherheit bleibt Problem
Diese massive Sicherheitsaktion verdeutlicht ein anhaltendes Problem: Während Google die Patches bereitstellt, hängt die Geschwindigkeit der Verteilung von den Geräteherstellern ab.
Samsung musste kürzlich separat eine Zero-Day-Lücke (CVE-2025-21043) schließen, die Fernzugriff über Bildverarbeitung ermöglichte. Bei OnePlus klafft noch eine kritische Schwachstelle (CVE-2025-10184), die Apps den Diebstahl von SMS-Daten erlaubt – ein Fix kommt erst Mitte Oktober.
Anzeige: Apropos Android-Sicherheit: Bis Hersteller-Updates ankommen, bleiben viele Geräte verwundbar. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen – mit einfachen Schritt-für-Schritt-Anleitungen für mehr Schutz bei WhatsApp, Online-Banking und Shopping, ganz ohne Zusatz-Apps. Perfekt, um Ihr Smartphone sofort spürbar sicherer zu machen. Jetzt das kostenlose Android-Sicherheitspaket anfordern
Sofortiges Handeln erforderlich
Pixel-Besitzer können das Update bereits herunterladen. Alle anderen Android-Nutzer sollten regelmäßig in den Geräteeinstellungen nach System-Updates suchen.
Die Sicherheitspatch-Stufe sollte mindestens auf 2025-09-05 stehen, um vor den aktuellen Bedrohungen geschützt zu sein. Angesichts der aktiven Angriffe ist schnelles Handeln die beste Verteidigung.
