Google schließt kritische Sicherheitslücken und kündigt gleichzeitig eine radikale Wende für das Android-Ökosystem an. Ab 2026 müssen sich alle App-Entwickler verifizieren lassen – auch für Sideloading außerhalb des Play Stores. Diese doppelte Strategie aus sofortigen Sicherheitsfixes und langfristiger Plattform-Kontrolle markiert einen Wendepunkt für das weltweit dominante mobile Betriebssystem.

September-Update stoppt aktive Angriffe

Googles September-Sicherheitsupdate behebt 120 Schwachstellen – so viele wie in keinem anderen Monat dieses Jahres. Besonders brisant: Zwei Zero-Day-Lücken wurden bereits aktiv für Angriffe ausgenutzt.

Die beiden kritischen Sicherheitslücken im Detail:
- CVE-2025-38352: Privilegien-Eskalation im Linux-Kernel
- CVE-2025-48543: Schwachstelle in der Android Runtime (ART)

Beide Lücken ermöglichen Angreifern eine lokale Rechteausweitung ohne Nutzerinteraktion. Googles eigene Threat Analysis Group entdeckte die Kernel-Schwachstelle – ein Hinweis auf den Einsatz in professioneller Spyware.

Samsung folgte mit einem eigenen kritischen Fix: CVE-2025-21043 betrifft eine Bildparsing-Bibliothek und ermöglicht Remote-Code-Ausführung. Die Lücke gefährdet Samsung-Geräte ab Android 13. Entdeckt wurde sie von den Sicherheitsteams von Meta und WhatsApp.
Anzeige: Übrigens: Wer sein Android‑Smartphone gezielt gegen aktuelle Angriffe und Datenklau absichern will, findet die 5 wichtigsten Schutzmaßnahmen kompakt erklärt – kostenlos. Der Ratgeber führt Schritt für Schritt durch sichere Einstellungen für WhatsApp, Online‑Shopping, PayPal und Online‑Banking – ganz ohne teure Zusatz‑Apps. Jetzt kostenloses Android‑Sicherheitspaket sichern

Das Ende des anonymen Sideloadings

Während Google akute Bedrohungen beseitigt, kündigt der Konzern eine historische Kehrtwende an: Ab 2026 erfordert Android eine Entwickler-Verifikation für alle Apps – egal ob aus dem Play Store, von Websites oder anderen Quellen.

Diese "ID-Kontrolle" soll nicht den App-Inhalt prüfen, sondern die Identität des Entwicklers bestätigen. Googles Begründung: Internet-Apps enthalten 50-mal häufiger Malware als Play Store-Anwendungen.
Anzeige: Sideloading bleibt – aber sicher. Wenn Sie Apps auch außerhalb des Play Stores installieren, sollten Sie diese 5 Sicherheitsmaßnahmen kennen. Der kostenlose Leitfaden zeigt praxistaugliche Checks, automatische Prüfungen und die wichtigsten Update‑Regeln für Android. Kostenlosen Sicherheits‑Guide für Android laden

Die Umsetzung erfolgt schrittweise:
- Oktober 2025: Early Access für neue "Android Developer Console"
- März 2026: Verifikation für alle Entwickler verfügbar
- September 2026: Pflicht startet in Brasilien, Indonesien, Singapur und Thailand
- 2027+: Weltweite Einführung

Kontroverse um Plattform-Philosophie

Diese Änderung stellt Androids Kernprinzip der Offenheit infrage. Jahrelang war die freie App-Installation ein zentrales Unterscheidungsmerkmal zu Apples geschlossenem iOS-System.

Kritiker befürchten das Ende der Nutzerfreiheit und weniger Innovation von unabhängigen Entwicklern. Besonders gefährdet: Emulatoren und Datenschutz-Tools, die oft außerhalb des Play Stores existieren.

Google rechtfertigt den Schritt mit dem Kampf gegen Malware und Betrug. Konzern-Manager betonen: "Sideloading bleibt fundamental für Android" – nur die Art ändert sich grundlegend.

Schlupfloch für Technik-Profis

Eine Ausnahme bleibt bestehen: Die Installation über die Android Debug Bridge (ADB) vom PC erfordert keine Entwickler-Verifikation. Diese technische Methode nutzen jedoch fast ausschließlich Entwickler und Power-User.

Unklar ist, ob Google dieses Schlupfloch dauerhaft erhält. Der neue Android Developer Verifier wird ab Android 16 QPR2 vorinstalliert und überwacht App-Installationen. Die Balance zwischen Sicherheit und Nutzer-Autonomie verschiebt sich damit deutlich in Richtung Kontrolle.