Dolby-Lücke: Google schließt kritische Android-Sicherheitslücke

Eine gefährliche Sicherheitslücke in einer Dolby-Audiokomponente ermöglichte die Übernahme von Android-Smartphones. Google hat den Fehler nun mit dem Januar-Update für alle Geräte geschlossen. Nutzer sollten sofort aktualisieren.

Angreifer konnten die Kontrolle über ein Gerät erlangen, indem sie lediglich eine manipulierte Audio-Datei verschickten. Dieser sogenannte Zero-Click-Angriff erforderte keine Interaktion des Opfers – der Empfang einer Sprachnachricht reichte aus.

So funktionierte der lautlose Angriff

Die Lücke mit der Kennung CVE-2025-54957 steckte im Dolby Digital Plus Decoder. Diese Software-Komponente verarbeitet Audio-Streams auf Millionen Geräten. Ein Fehler in der Berechnung des benötigten Speicherplatzes führte zu einem Pufferüberlauf.

Das Tückische: Unter Android werden eingehende Audio-Dateien oft automatisch im Hintergrund verarbeitet, etwa für Transkriptionen. Die präparierte Datei konnte so bösartigen Code ausführen, sobald sie das Gerät erreichte – komplett unbemerkt vom Nutzer.

Viele Android‑Nutzer übersehen diese fünf einfachen Schutzmaßnahmen – genau diese Lücken ermöglichen Zero‑Click‑Angriffe über Sprachnachrichten. Ein kostenloser Praxisratgeber erklärt Schritt für Schritt, wie Sie automatische Audio‑Verarbeitung kontrollieren, App‑Berechtigungen einschränken, automatische Transkriptionen deaktivieren und System‑Updates richtig prüfen. Mit klaren Checklisten und leicht umsetzbaren Anleitungen schützen Sie Ihr Telefon ohne Fachwissen. Gratis-Android-Sicherheitsratgeber herunterladen

Millionen Geräte waren gefährdet

Die Schwachstelle betraf eine breite Palette von Android-Smartphones. Sicherheitsforscher demonstrierten erfolgreiche Angriffe auf Geräte wie Google Pixel und Samsung Smartphones. Zwar war die Dolby-Komponente auch in Windows, macOS und iOS vorhanden, doch die Bedrohung für Android galt als besonders kritisch.

Der Grund ist der automatisierte Verarbeitungsprozess, der den Zero-Click-Angriff erst ermöglichte. Auf anderen Systemen war für eine Ausnutzung stets eine Nutzerinteraktion nötig.

Googles Update bringt den Schutz

Google hatte den Fehler für seine Pixel-Geräte bereits im Dezember-Update behoben. Das nun veröffentlichte Android-Sicherheitsbulletin für Januar 2026 enthält den Patch für alle Gerätehersteller. Die offizielle Korrektur ist im Sicherheits-Patch-Level vom 5. Januar 2026 enthalten.

• Nutzer sollten umgehend prüfen, ob für ihr Gerät ein Update bereitsteht.
• Die Verteilung der Updates übernehmen die einzelnen Hersteller, was zu Verzögerungen führen kann.
• Behörden wie das indische CERT-In haben offizielle Warnungen herausgegeben.

Warum die Risikobewertung auseinander ging

Interessant waren die unterschiedlichen Einschätzungen zur Gefahr: Dolby stufte das Risiko zunächst als moderat ein, Google und externe Sicherheitsexperten bewerteten es für Android als kritisch. Dieser Unterschied zeigt, wie der Kontext eines Betriebssystems die tatsächliche Bedrohungslage bestimmt.

Der Vorfall lenkt den Blick erneut auf die Sicherheit von Multimedia-Codecs. Die automatische Verarbeitung von Inhalten, eigentlich ein Komfort-Feature, schafft hier neue Angriffsflächen. Einige europäische Behörden rieten zwischenzeitlich sogar, Dienste wie RCS vorübergehend zu deaktivieren.

Für Nutzer bleibt die wichtigste Lehre: Regelmäßige Sicherheitsupdates sind der beste Schutz. Der Fall zeigt erneut, wie unsichtbare Software-Komponenten im Hintergrund zum Einfallstor für Angreifer werden können.

PS: Diese 5 Maßnahmen machen Ihr Android spürbar sicherer – Tipp 3 schließt eine oft unterschätzte Lücke bei der automatischen Verarbeitung von Sprachnachrichten. Der kostenlose Ratgeber liefert praktische Checklisten, erklärt, welche Berechtigungen Sie prüfen sollten, wie Sie automatische Transkriptionen deaktivieren und wie Sie Update‑Verteilungen richtig überwachen. Schützen Sie Ihr Gerät jetzt mit praxisnahen Schritten. Jetzt kostenloses Sicherheitspaket für Android sichern