Android: Zero-Click-Lücke über Bluetooth geschlossen

Google hat eine kritische Sicherheitslücke im Android-Betriebssystem behoben. Die als CVE-2025-48593 identifizierte Schwachstelle ermöglichte Angreifern, über eine manipulierte Bluetooth-Verbindung die volle Kontrolle über Smartphones und Tablets zu übernehmen – ohne dass Nutzer davon etwas bemerkten. Betroffen sind die Android-Versionen 13 bis 16.

Der Patch wurde Anfang November veröffentlicht. Geräte mit dem Sicherheitsupdate-Level 2025-11-01 oder neuer sind geschützt.

Die Schwachstelle sitzt tief im Bluetooth-System, genauer im Hands-Free Profile (HFP) Client. Es handelt sich um einen “Use-After-Free”-Fehler – ein klassisches Problem in C++-Code. Das Betriebssystem greift dabei auf einen bereits freigegebenen Speicherbereich zu.

Passend zum Thema Bluetooth-Exploits und veraltete Updates: Viele Android-Nutzer kennen nicht die wichtigsten Schutzschritte, mit denen sich Remote-Angriffe verhindern lassen. Unser kostenloses Sicherheitspaket erklärt die 5 wichtigsten Maßnahmen für Ihr Android-Smartphone — von Update-Checks über richtige Bluetooth- und WLAN-Einstellungen bis zu Play Protect und App‑Prüfungen. Die leicht verständlichen Schritt-für-Schritt-Anleitungen helfen Ihnen, Ihr Gerät sofort deutlich sicherer zu machen. Gratis-Sicherheitspaket: 5 Schutzmaßnahmen für Android sichern

Die Gefahr: Ein Angreifer in der Nähe konnte diesen Fehler ausnutzen, indem er:

• Ein speziell präpariertes Datenpaket an das Gerät sendet
• Den freigegebenen Speicher mit eigenem Code überschreibt
• Warten, bis Android erneut auf diesen Bereich zugreift

Das Perfide: Es war weder eine Bluetooth-Kopplung noch irgendeine Nutzeraktion erforderlich. Zero-Click Remote Code Execution – die gefährlichste Art von Sicherheitslücken. Cyberkriminelle hätten so Daten stehlen, Ransomware installieren oder Geräte in ein Botnetz einbinden können.

Googles Reaktion und das Patchlevel-Dilemma

Google stufte CVE-2025-48593 als kritisch ein. Laut dem Android Security Bulletin vom 3. November informierte der Konzern alle Gerätehersteller – Samsung, Xiaomi und Co. – mindestens einen Monat vorab. Diese Vorwarnzeit soll Partnern Zeit geben, den Patch zu testen und in ihre Software zu integrieren.

Doch hier beginnt das bekannte Android-Problem: Die Fragmentierung. Während Google den Fix zentral bereitstellt, liegt die Verteilung bei den Herstellern. Und die arbeiten mit sehr unterschiedlichem Tempo.

Manche Nutzer erhalten Updates binnen Tagen, andere warten Monate. Mobilfunkanbieter verzögern den Prozess zusätzlich durch eigene Freigabeverfahren. Millionen Geräte bleiben dadurch lange verwundbar – selbst wenn die Lösung längst existiert.

Was Nutzer jetzt tun sollten

Der wichtigste Schritt: Sofort nach Updates suchen. Der Weg führt über:

Einstellungen → System → Systemupdate

Das Sicherheits-Patch-Level muss “2025-11-01” oder neuer lauten. Steht dort ein älteres Datum, bleibt das Gerät angreifbar.

Zusätzliche Schutzmaßnahmen:

• Bluetooth in öffentlichen Umgebungen deaktivieren, wenn nicht benötigt
• Google Play Protect aktiviert lassen (schützt zumindest vor schädlichen Apps)
• Regelmäßig prüfen, ob der Hersteller noch Updates liefert

Besonders Nutzer älterer oder günstiger Geräte sollten wachsam sein. Viele Hersteller stellen den Support nach zwei Jahren ein – dann bleiben solche Lücken dauerhaft offen.

Zero-Click-Exploits: Der Heilige Gral der Spionage

Schwachstellen wie CVE-2025-48593 sind Gold wert – für Geheimdienste ebenso wie für kriminelle Organisationen. Die berüchtigte Spyware Pegasus nutzte ähnliche Zero-Click-Lücken, um Journalisten, Aktivisten und Politiker auszuspionieren.

Warum sind sie so begehrt? Sie ermöglichen eine vollständige, unbemerkte Kompromittierung. Das Opfer muss nichts anklicken, keine App installieren, nicht einmal das Gerät entsperren. Ein einziges Datenpaket reicht – und der Angreifer ist drin.

Die Entdeckung und Behebung solcher Lücken ist deshalb ein permanentes Wettrüsten zwischen Sicherheitsforschern und Angreifern. Google hat diesmal gewonnen. Aber wie lange, bis die nächste auftaucht?

Die Android-Fragmentierung bleibt das Kernproblem

Google liefert die Patches über das Android Open Source Project (AOSP). Doch die Verantwortung für die Verteilung liegt bei hunderten Geräteherstellern weltweit. Das Ergebnis: Ein Flickenteppich aus Sicherheitsniveaus.

Das Dilemma in Zahlen:

• Google Pixel: Updates binnen Tagen
• Samsung Flaggschiffe: Innerhalb von Wochen
• Mittelklasse-Geräte: Oft Monate Verzögerung
• Budget-Smartphones: Häufig gar keine Updates mehr

Initiativen wie Project Mainline versuchen das Problem zu lösen, indem bestimmte Systemkomponenten direkt über den Play Store aktualisiert werden. Doch tief verankerte Schwachstellen wie CVE-2025-48593 lassen sich so nicht beheben.

Bluetooth und WLAN: Dauerhafte Risikozonen

Drahtlose Protokolle sind komplex – und damit anfällig. Bluetooth und WLAN bieten eine riesige Angriffsfläche, weil sie ständig aktiv sind und auf Verbindungen lauschen. Für Sicherheitsforscher und Angreifer sind sie deshalb dauerhaft attraktive Ziele.

Die CVE-2025-48593 ist geschlossen. Doch die nächste kritische Lücke wird kommen – vermutlich früher als erhofft. Für Nutzer bedeutet das: Update-Hygiene ist keine Option, sondern Pflicht. Wer sein Gerät nicht regelmäßig aktualisiert, öffnet Angreifern Tür und Tor.

Die Behebung dieser Schwachstelle ist ein wichtiger Erfolg für die Android-Sicherheit. Doch der Kampf geht weiter – und er wird nie enden.

PS: Wenn Sie gerade über CVE-2025-48593 gelesen haben, lohnt sich ein praktischer Schutz-Check. Der kostenlose Ratgeber fasst die wichtigsten Maßnahmen zusammen, erklärt, wie Sie Bluetooth in öffentlichen Räumen sicher konfigurieren, wie Sie Patch-Levels prüfen und welche Einstellungen Sie sofort ändern sollten, um Zero-Click-Angriffe zu verhindern. Die Schritt-für-Schritt-Checkliste funktioniert ohne zusätzliche Tools und ist für Einsteiger verständlich. Jetzt kostenloses Android-Sicherheitspaket herunterladen