Dolby-Sicherheitslücke: Android-Handys über manipulierte Audiodateien angreifbar

Eine kritische Sicherheitslücke in Dolby Digital Plus Audiodekodier-Software macht Millionen Android-Geräte verwundbar. Das Besondere: Kriminelle können Smartphones kompromittieren, ohne dass Nutzer überhaupt etwas bemerken.

Die Schwachstelle, entdeckt von Googles Elite-Sicherheitsteam Project Zero, ermöglicht sogenannte “Zero-Click”-Angriffe. Dabei genügt eine speziell präparierte Audiodatei, die über Messaging-Apps wie Google Messages verschickt wird. Das Android-System verarbeitet eingehende Audionachrichten automatisch für Transkriptionen oder Vorschauen – und aktiviert dabei unbemerkt die Sicherheitslücke.

CVE-2025-54957 lautet die technische Bezeichnung des Fehlers, der eine schwerwiegende “Out-of-Bounds Write”-Schwachstelle im weitverbreiteten Dolby Digital Plus Decoder darstellt. Ein Angreifer könnte manipulierte .ec3 oder .mp4-Dateien versenden und dadurch Code auf fremden Geräten ausführen.

Google meldete die Sicherheitslücke bereits im Juni 2025 an Dolby. Nach der standardmäßigen 90-Tage-Frist veröffentlichten die Forscher Ivan Fratric und Natalie Silvanovich nun die Details. Patches sind über das Oktober 2025 Android Security Bulletin verfügbar, mit Patch-Level vom 1. und 5. Oktober 2025.

Doch die Bedrohung beschränkt sich nicht auf Android. Die fehlerhafte Dolby-Software steckt auch in macOS, iOS und anderen Plattformen. Microsoft adressierte das Problem bereits in seinen Oktober-Updates, Google integrierte Korrekturen in ChromeOS.

Das Risiko ist jedoch auf Android am höchsten: Die automatische Verarbeitung von Audiodateien in beliebten Messaging-Apps macht Geräte besonders verwundbar. Während iOS-Nutzer meist manuell auf Nachrichten zugreifen müssen, geschieht die Verarbeitung bei Android oft unsichtbar im Hintergrund.

Anzeige: Passend zum Thema Android-Sicherheit: Zero‑Click‑Angriffe zeigen, wie schnell Daten in falsche Hände geraten können. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android – ohne teure Zusatz‑Apps, mit leicht verständlichen Schritt‑für‑Schritt‑Anleitungen und Checklisten für wichtige Updates, WhatsApp, Banking & Co. Jetzt kostenloses Android‑Sicherheitspaket sichern

Zero-Click-Exploits: Millionenschwerer Schwarzmarkt

Diese Entdeckung unterstreicht die wachsende Bedrohung durch Zero-Click-Schwachstellen. Im Gegensatz zu Phishing-Angriffen benötigen diese Exploits keinerlei Nutzerinteraktion – selbst vorsichtige Anwender sind schutzlos.

Auf dem Schwarzmarkt erzielen hochwertige Zero-Click-Exploits für Mobilgeräte Millionenbeträge. Staatliche Akteure und kriminelle Gruppen investieren massiv in solche Angriffsmethoden.

Das Jahr 2025 war bereits geprägt von mobilen Bedrohungen. Im September patchte Google zwei weitere Zero-Day-Schwachstellen in Androids Kernel und Runtime. Im August folgte eine kritische Lücke in Android-Systemkomponenten. Die Angriffsfläche mobiler Geräte ist gewaltig – vom Betriebssystem bis hin zu Drittanbieter-Bibliotheken.

Sofortiger Schutz: Updates installieren

Gerätehersteller wie Samsung und Google rollen die Oktober-Sicherheitspatches in den kommenden Wochen aus. Unternehmensadministratoren sollten über Mobile Device Management-Systeme den Patch-Level 2025-10-05 durchsetzen.

Für Verbraucher bleibt die Devise einfach: Geräte stets aktuell halten. Automatische Updates bieten den wirksamsten Schutz vor bekannten Schwachstellen. Zusätzlich empfehlen Sicherheitsexperte tägliche Neustarts des Smartphones und Vorsicht bei unaufgeforderten Nachrichten.

Die komplexe Software-Lieferkette bietet Angreifern unzählige Angriffspunkte. Proaktive Sicherheit bleibt der beste Schutz gegen die stetig wachsende Bedrohung durch Zero-Click-Exploits.