Google schließt 120 Android-Lücken in Notfall-Update

Ein Sicherheits-Paukenschlag erschüttert die Android-Welt: Google hat 120 Schwachstellen auf einen Schlag gepatcht – der höchste Wert des Jahres. Besonders brisant: Zwei der Lücken werden bereits aktiv von Hackern ausgenutzt. Was steckt hinter diesem beispiellosen Update?

Das September-Bulletin 2025 markiert eine Zeitenwende in der Android-Sicherheit. Nach einem ruhigen Sommer mit nur sechs Patches im August und null im Juli präsentiert Google nun die größte Sicherheitsaktualisierung des Jahres. Die schiere Anzahl der Fixes zeigt, wie komplex die Bedrohungslage für das weltweit meistgenutzte Mobilbetriebssystem geworden ist.

Zwei Zero-Days unter aktiver Attacke

Im Zentrum des Updates stehen zwei kritische Zero-Day-Schwachstellen, die bereits von Angreifern ausgenutzt werden. CVE-2025-38352 betrifft den Linux-Kernel, das Herzstück von Android, während CVE-2025-48543 eine Lücke in der Android Runtime darstellt – der Umgebung, in der Apps ausgeführt werden.

Beide Schwachstellen ermöglichen es Angreifern, ihre Privilegien zu erweitern. Eine bösartige App könnte Androids Sicherheits-Sandbox umgehen und Zugriff auf sensible Daten erlangen oder Systemfunktionen übernehmen. Google bestätigte, dass beide Lücken bereits gezielt ausgenutzt werden.

Anzeige: Angesichts aktiv ausgenutzter Zero-Days sollten Sie Ihr Android zusätzlich absichern. Viele Nutzer übersehen 5 einfache Maßnahmen, die WhatsApp, Banking und Co. wirksam schützen. Ein kostenloser Ratgeber erklärt alle Schritte ohne Fachchinesisch – ganz ohne teure Zusatz-Apps. Jetzt das Android-Sicherheitspaket gratis anfordern

Zusätzlich schließt das Update CVE-2025-48539, eine kritische Schwachstelle in Systemkomponenten. Diese könnte Angreifern in der Nähe – etwa im selben WLAN oder Bluetooth-Umfeld – ermöglichen, Code ohne Nutzerinteraktion auszuführen. Auch Hardware-Komponenten von Qualcomm erhalten wichtige Sicherheits-Patches.

Googles neue „Risiko-Strategie“ zeigt Wirkung

Der dramatische Anstieg der Patch-Zahlen ist kein Zufall, sondern Resultat von Googles neuer „Risk-Based Update System“-Strategie. Erstmals im Juli 2025 hatte Google null Patches veröffentlicht – ein Novum in der Android-Geschichte.

Die neue Herangehensweise soll Gerätehersteller entlasten, indem weniger kritische Schwachstellen in größere, seltene Updates gebündelt werden. Statt monatlicher Mini-Updates fokussiert sich Google auf die wirklich gefährlichen Bedrohungen. Kritiker befürchten jedoch, dass mittelschwere Lücken zu lange ungepatcht bleiben könnten.

Das ungelöste Problem der Android-Fragmentierung

Doch selbst perfekte Patches nützen nichts, wenn sie nicht bei den Nutzern ankommen. Googles größte Herausforderung bleibt die Fragmentierung des Android-Ökosystems. Nach der Patch-Veröffentlichung müssen Hersteller wie Samsung oder OnePlus die Updates in ihre individuellen Android-Varianten integrieren – ein zeitraubender Prozess.

Erschwerend kommen Mobilfunkanbieter ins Spiel, die eigene Tests durchführen. Das Ergebnis: Wochen oder Monate vergehen zwischen Patch-Veröffentlichung und Installation beim Endnutzer. Über eine Milliarde Geräte laufen schätzungsweise mit veralteten, unsicheren Android-Versionen – eine permanente Sicherheitslücke.

Anzeige: Bis Hersteller-Updates ankommen, zählt Eigenvorsorge: So sichern Sie Ihr Android in Minuten. Der Gratis-Guide führt Schritt für Schritt durch die 5 wichtigsten Schutzmaßnahmen – inklusive Checklisten für geprüfte Apps, automatische Prüfungen und wichtige Update-Einstellungen. Kostenlosen Sicherheitsleitfaden für Android jetzt herunterladen

Architektur-Reformen zeigen erste Erfolge

Google kämpft seit Jahren gegen dieses Problem an. Project Treble (Android 8) trennte das Kern-System von herstellerspezifischem Code. Project Mainline (ab Android 10) ermöglicht direkte Updates wichtiger Komponenten über den Google Play Store – ohne Umweg über die Hersteller.

Diese technischen Lösungen verbesserten die Situation, eliminierten aber nicht den Flaschenhals bei den Geräteherstellern. Die neue Risiko-Strategie ist Googles pragmatische Antwort: Statt einer Flut von Patches kuratiert Google gezielt die kritischsten Bedrohungen.

Sofortiges Handeln erforderlich

Für Android-Nutzer ist die Botschaft klar: Installieren Sie das September-Update umgehend, sobald es für Ihr Gerät verfügbar ist. Suchen Sie nach dem Sicherheitspatch-Level „2025-09-05“ oder neuer. Die aktiv ausgenutzten Zero-Days machen dies zu einer dringenden Maßnahme.

Die US-Cybersicherheitsbehörde CISA hat beide Zero-Days bereits in ihren Katalog bekannter Exploits aufgenommen – ein deutliches Warnsignal. Wie schnell Hersteller dieses kritische Update ausrollen, wird zum ersten großen Test von Googles neuer Strategie.

Parallel baut Google weitere Sicherheitsfeatures direkt ins System ein, wie verbesserte Bedrohungserkennung und einen neuen „Privater Bereich“. Doch die Grundherausforderung bleibt bestehen: Im komplexen Android-Ökosystem ist Sicherheit eine geteilte Verantwortung – und die Kette ist nur so stark wie ihr schwächstes Glied.