Android-Update: 111 Sicherheitslücken geschlossen

Google hat sein September-Update für Android veröffentlicht und schließt dabei 111 Sicherheitslücken ? darunter zwei Zero-Day-Exploits, die bereits aktiv ausgenutzt werden. Cybersecurity-Experten schlagen Alarm.

Die beiden kritischen Schwachstellen stehen im Zusammenhang mit sophistizierten Cyber-Spionagekampagnen wie „Salt Typhoon“, die gezielt Telekommunikationsinfrastrukturen angreifen, um sensible Smartphone-Daten abzufangen. Das Update verdeutlicht die anhaltenden Risiken durch Datenlecks und die Notwendigkeit robuster Verschlüsselung bei mobiler Kommunikation.

Das Herzstück des September-Updates sind die Patches für zwei Schwachstellen mit hohem Schweregrad, die Angreifer bereits in freier Wildbahn ausnutzen. Laut Googles Sicherheitsbulletin könnten beide Schwachstellen ? CVE-2025-38352 und CVE-2025-48543 ? eine lokale Privilegienerweiterung ermöglichen, ohne dass Nutzer etwas davon bemerken.

CVE-2025-38352 betrifft eine Race-Condition-Schwachstelle im Linux-Kernel, während CVE-2025-48543 die Android Runtime (ART) angreift. In der Praxis bedeutet das: Hat ein Angreifer bereits Zugang zu einem Gerät, kann er diese Lücken nutzen, um tiefere Systemkontrolle zu erlangen. Androids Sicherheits-Sandbox wird dabei umgangen ? Tür und Tor für den Zugriff auf sensible Daten oder die Installation hartnäckiger Malware.

Google spricht von „begrenzter, gezielter Ausnutzung“ ? ein Hinweis darauf, dass diese Schwachstellen wahrscheinlich in Präzisionsangriffen eingesetzt werden. Das Ziel: Spyware gegen hochwertige Targets zu platzieren.

Die schwerwiegendste Schwachstelle des Updates trägt die Kennung CVE-2025-48539. Dieser kritische Fehler in der System-Komponente könnte Remote-Code-Execution über Bluetooth oder WLAN ermöglichen ? und das ohne jede Nutzerinteraktion.

Unverschlüsselte Kommunikation als Einfallstor

Neben spezifischen Software-Fehlern bleibt ein grundlegendes Risiko bestehen: unverschlüsselte Kommunikationskanäle. Standard-SMS-Nachrichten beispielsweise verfügen über keine Ende-zu-Ende-Verschlüsselung und können von Bedrohungsakteuren oder Geheimdiensten abgefangen werden.

Rich Communication Services (RCS) soll SMS ersetzen und bietet zwar Ende-zu-Ende-Verschlüsselung für Einzel-Chats unter Android. Doch Sicherheitslücken bleiben bestehen, besonders bei plattformübergreifenden Nachrichten zwischen Android und iOS.

Jegliche unverschlüsselten Daten ? ob Nachrichten, E-Mails oder App-Daten ? können durch „Man-in-the-Middle“-Angriffe über öffentliche WLAN-Netze abgefangen werden. Die Folgen reichen vom Diebstahl persönlicher Login-Daten bis hin zum Verlust sensibler Unternehmensinformationen.
Anzeige: Wer sich nach den aktuellen Warnungen fragt, wie sich das eigene Android im Alltag besser absichern lässt: Der kostenlose Ratgeber bündelt die 5 wichtigsten Maßnahmen ? mit Schritt-für-Schritt-Anleitungen für WhatsApp, Online-Banking, PayPal und mehr. Ohne teure Zusatz-Apps, sofort umsetzbar. Jetzt das Android-Sicherheitspaket gratis anfordern

Gezielte Spionage im Fokus

Das September-Update steht nicht isoliert da. Es verdeutlicht einen klaren Trend: Immer sophistiziertere Bedrohungsakteure, einschließlich staatlich unterstützter Gruppen, nehmen das mobile Ökosystem ins Visier.

Diese Entwicklungen fallen zusammen mit eindringlichen Warnungen US-amerikanischer Bundesbehörden vor der chinesischen Hackergruppe „Salt Typhoon“. Seit Jahren soll diese Gruppe globale Telekommunikationsunternehmen infiltrieren, um Anruf-Metadaten und teilweise sogar Gesprächsinhalte zu stehlen.

Durch die Kompromittierung der Kern-Infrastruktur, über die mobile Kommunikation läuft, können solche Gruppen gerätebezogene Sicherheitsmaßnahmen umgehen. Das FBI und andere Behörden haben Telekom-Unternehmen bereits aufgefordert, ihre Netzwerksicherheit zu verstärken.

Sofortige Installation empfohlen

Für Android-Nutzer ist der Weg klar: Das September-Update sollte sofort installiert werden, sobald es verfügbar ist. Nur das Patch-Level 2025-09-05 bietet vollständigen Schutz vor allen 111 dokumentierten Problemen.

Gerätehersteller wie Samsung und Google haben bereits begonnen, die Updates für ihre Flaggschiff-Modelle auszurollen. Die Industrie arbeitet kontinuierlich an sichereren Kommunikationsstandards ? eine sichere RCS-Implementierung für alle Plattformen wird für Anfang 2025 erwartet.

Doch die Beharrlichkeit von Bedrohungsakteuren wie Salt Typhoon zeigt: Telekommunikationsanbieter bleiben hochwertige Ziele. In diesem andauernden Cybersecurity-Wettrüsten bleiben kontinuierliche Wachsamkeit, schnelle Patches und Nutzerbewusstsein unverzichtbar.