Android: Google schließt über 100 Sicherheitslücken

Google hat ein kritisches Sicherheitsupdate für Android veröffentlicht, das über 100 Schwachstellen stopft. Besonders brisant: Zwei Zero-Day-Lücken werden bereits aktiv ausgenutzt.

Das September-Update 2025 ist eines der umfangreichsten dieses Jahres – ein drastischer Kontrast zu den nur sechs Schwachstellen im August und null im Juli. Die Zahlen verdeutlichen eine eskalieerende Bedrohungslage für Smartphone-Nutzer.

Parallel zu den Bugfixes verstärkt Google seine Schutzmaßnahmen gegen Diebstahl und erweitert die Funktionen zur Fernsperre von Geräten.

Zwei Zero-Day-Lücken unter Beschuss

Im Zentrum der aktuellen Sicherheitswarnungen stehen zwei hochriskante Schwachstellen, die bereits in gezielten Angriffen missbraucht werden. Die erste Lücke (CVE-2025-38352) betrifft den Linux-Kernel und wurde von Googles eigener Threat Analysis Group entdeckt – einem Team, das regelmäßig staatliche Spionagesoftware aufspürt.

Die zweite Zero-Day-Schwachstelle (CVE-2025-48543) klafft in der Android Runtime (ART), der Umgebung für App-Ausführung. Angreifer können dadurch die Sicherheits-Sandbox umgehen und sich erweiterte Rechte verschaffen. Beide Lücken erfordern keine Nutzer-Interaktion – ein besonders gefährliches Szenario.

Kritische Fernattacken möglich

Noch bedrohlicher ist eine weitere Schwachstelle (CVE-2025-48539) in der Systemkomponente. Diese ermöglicht Remote Code Execution ohne zusätzliche Rechte oder Nutzeraktion. Angreifer müssen sich lediglich in der Nähe befinden – etwa im selben WLAN oder Bluetooth-Bereich.

Sicherheitsexperten warnen vor dem „Wurm-Potenzial“ solcher Lücken: Schadsoftware könnte sich automatisch von Gerät zu Gerät ausbreiten, besonders in dicht besiedelten Gebieten.

Anzeige: Apropos kritische Lücken und Fernangriffe: Viele Android-Nutzer übersehen genau jene Basis-Einstellungen, die WhatsApp, Banking & Co. vor Datendieben schützen. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen – mit einfachen Schritt-für-Schritt-Anleitungen, ganz ohne teure Zusatz-Apps. Jetzt kostenloses Android‑Sicherheitspaket laden

Verstärkte Anti-Diebstahl-Maßnahmen

Google rüstet auch den Schutz vor physischem Diebstahl auf. Die Fernsperre-Funktion, die Geräte nur mit der Telefonnummer sperren konnte, erhält eine zusätzliche Sicherheitsfrage. Diese verhindert Missbrauch durch Personen, die lediglich die Handynummer kennen.

Die Neuerung ergänzt bestehende KI-gestützte Systeme wie die Diebstahlerkennung, die bei verdächtigen Bewegungsmustern automatisch sperrt, und die Offline-Gerätesperre für längerfristig getrennte Geräte.

Neue Sicherheitsstrategie zeigt Wirkung

Das Rekord-Update spiegelt Googles neue „risikobasierte“ Update-Strategie wider. Kritische Lücken werden priorisiert und schneller verteilt, während weniger gefährliche Schwachstellen in größeren Paketen gebündelt werden.

Der Strategiewechsel kommt zur richtigen Zeit: Sicherheitsforscher meldeten für die erste Jahreshälfte 2025 einen Anstieg der Android-Malware um 151 Prozent und bei Spionagesoftware um 147 Prozent. Neue Bedrohungen wie der „RatOn“-Banking-Trojaner kombinieren Fernzugriff mit NFC-Manipulation für ausgeklügelte Betrugsmaschen.

Sofortiges Update empfohlen

Nutzer sollten das September-Update umgehend installieren. Die Sicherheitspatch-Stufe muss mindestens 2025-09-05 anzeigen. Den aktuellen Stand finden Nutzer unter Einstellungen > Über das Telefon > Android-Version.

Hersteller wurden bereits einen Monat im Voraus informiert, der Quellcode wird schrittweise für das Android Open Source Project freigegeben.

Anzeige: Ein Update ist der erste Schritt – für umfassenden Schutz hilft ein klarer Plan. Dieser Gratis-Leitfaden bündelt die 5 wichtigsten Maßnahmen inkl. Checklisten für geprüfte Apps, automatische Prüfungen und kritische Update-Einstellungen. Kostenlosen Ratgeber „5 Schutzmaßnahmen für Android“ sichern