Google warnt vor kritischen Android-Sicherheitslücken
Zwei Zero-Days bereits im Visier von Hackern
Google schlägt Alarm: Über 100 Sicherheitslücken bedrohen Android-Nutzer weltweit. Zwei bereits aktiv angegriffene Zero-Day-Schwachstellen machen sofortiges Handeln erforderlich.
Der September-Sicherheitspatch für Android ist einer der umfangreichsten des Jahres – und das aus gutem Grund. Cyberkriminelle nutzen bereits zwei kritische Schwachstellen aus, um Geräte zu übernehmen, ohne dass Nutzer etwas davon bemerken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) dürfte diese Entwicklung mit Sorge verfolgen, da Millionen deutsche Android-Nutzer betroffen sind.
Die Bedrohung ist real und akut: Angreifer können durch diese Lücken tiefgreifenden Zugang zu Smartphones erlangen, Daten stehlen oder hartnäckige Schadsoftware installieren.
Besonders brisant sind die beiden Zero-Day-Vulnerabilities, die Google als „begrenzt und gezielt ausgenutzt“ einstuft. Das deutet auf professionelle Angreifergruppen hin – möglicherweise im Bereich der Spionagesoftware.
CVE-2025-38352 steckt im Linux-Kernel, dem Herzstück von Android. Diese Schwachstelle ermöglicht es Angreifern, sich höhere Systemrechte zu verschaffen – ein klassischer Weg zur vollständigen Geräteübernahme. Technisch handelt es sich um eine Race-Condition, die von lokalen Angreifern oder bösartigen Apps ausgenutzt werden kann.
Die zweite aktiv missbrauchte Lücke CVE-2025-48543 sitzt in der Android Runtime (ART). Hier können schädliche Apps aus ihrer Sicherheitsumgebung ausbrechen und auf sensible Daten zugreifen. Für beide Schwachstellen gilt: Nutzer müssen nichts tun – die Angriffe laufen vollautomatisch ab.
Massive Schwachstellen-Welle erfasst Android-Ökosystem
Insgesamt 120 Sicherheitslücken schließt das September-Update – eine beeindruckende Zahl, die das Ausmaß der Bedrohung verdeutlicht. Besonders CVE-2025-48539 sticht hervor: Diese kritische Systemkomponenten-Lücke ermöglicht Fernzugriffe ohne Nutzerinteraktion.
Wie gefährlich ist das konkret? Angreifer in WLAN- oder Bluetooth-Reichweite könnten beliebigen Code ausführen – ein Alptraum-Szenario für jeden Smartphone-Nutzer.
Auch Dritthersteller sind massiv betroffen. Allein 32 Schwachstellen in Qualcomm-Komponenten wurden gepatcht, dazu Fixes für MediaTek und Imagination Technologies. Das Problem: Während Google die Patches bereitstellt, entscheiden die Gerätehersteller über die Verteilungsgeschwindigkeit.
Mobile Bedrohungen erreichen neue Dimension
Diese Sicherheitskrise kommt nicht aus heiterem Himmel. Cybersecurity-Experten beobachten 2025 eine deutliche Zunahme sophistizierter Android-Malware. Moderne Schadsoftware setzt auf Langlebigkeit – sie übersteht Neustarts und sogar Factory-Resets.
Die Angriffsmethoden werden raffinierter: Von getarnten Fake-Apps bis hin zu KI-unterstützten SMS-Phishing-Kampagnen ist alles dabei. Ein aktueller Fall machte Schlagzeilen: Die „SlopAds“-Kampagne schleuste 224 bösartige Apps in den Google Play Store ein – mit 38 Millionen Downloads und Milliarden gefälschter Werbeanfragen.
Parallel dazu entdeckte die Sicherheitsfirma Rapid7 eine noch ungepatchte Schwachstelle in OnePlus‘ OxygenOS, die SMS-Datendiebstahl ermöglicht. Die Bedrohungslandschaft wird komplexer und gefährlicher.
Was Nutzer jetzt tun müssen
Sofortmaßnahme: Sicherheitsupdate installieren. Der Weg führt über Einstellungen → System → Systemupdate (je nach Hersteller variierend). Ist das Sicherheitspatch-Level auf 2025-09-05 oder neuer datiert, sind die bekannten Zero-Days abgewehrt.
Google Pixel-Nutzer haben Glück – sie erhalten Updates zuerst. Alle anderen müssen auf ihre Hersteller warten. Samsung, Xiaomi und Co. sollten in den kommenden Wochen nachziehen.
Doch das Update ist nur der erste Schritt. Sicherheitsexperten raten zu grundlegenden Vorsichtsmaßnahmen: Apps nur aus offiziellen Stores laden, verdächtige Links meiden und App-Berechtigungen regelmäßig prüfen.
Anzeige: Wer sein Android jetzt zusätzlich absichern will, sollte die 5 wichtigsten Schutzmaßnahmen kennen. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online-Banking und PayPal zuverlässig schützen – ganz ohne teure Zusatz-Apps. Mit Checklisten, verständlichen Anleitungen und schnellen Sicherheitsprüfungen direkt am Gerät. Jetzt das kostenlose Android-Sicherheitspaket sichern
Die Entdeckung aktiv genutzter Zero-Days zeigt einmal mehr: In der digitalen Welt ist ständige Wachsamkeit der Preis für Sicherheit. Wer sein Android-Gerät nicht aktuell hält, öffnet Cyberkriminellen Tür und Tor.
