Google veröffentlicht kritisches Android-Update gegen Zero-Day-Attacken in freier Wildbahn. Die Schwere der Bedrohung zeigt sich schon an den Zahlen: 120 behobene Schwachstellen machen diesen Patch zu einem der größten des Jahres.

Besonders brisant sind zwei Zero-Day-Lücken, die bereits aktiv ausgenutzt werden. Beide ermöglichen es Angreifern, ohne Nutzerinteraktion tiefgreifende Systemrechte zu erlangen. Warum das jeden Android-Nutzer betrifft? Diese Sicherheitslücken öffnen sensible Daten wie Telefonbücher, Nachrichten und Banking-Apps.

Spionage-Software im Visier

Die erste kritische Lücke CVE-2025-38352 steckt im Linux-Kernel, die zweite (CVE-2025-48543) betrifft die Android-Laufzeitumgebung. Entdeckt wurde die Kernel-Schwachstelle von Googles Threat Analysis Group – einem Team, das normalerweise staatlich gesteuerte Cyberattacken verfolgt.

Diese Zuordnung deutet auf hochprofessionelle Angreifer hin. Vermutlich setzten Spionage-Software-Anbieter die Lücken gezielt gegen Journalisten, Aktivisten oder Dissidenten ein. Das erklärt auch Googles vorsichtige Formulierung von "begrenzter, gezielter Ausnutzung".

Seit Mai 2025 ist dies das erste Mal, dass Google wieder aktiv ausgenutzte Schwachstellen in einem monatlichen Update flicken musste.

Maximaler Schaden ohne Klick

Besonders gefährlich: Beide Zero-Days funktionieren ohne jede Nutzerinteraktion. Kein verdächtiger Link, keine dubiose App-Installation nötig. Malware kann sich automatisch weitreichende Systemrechte verschaffen und dann unbemerkt sensible Daten abgreifen.

Eine dritte kritische Lücke (CVE-2025-48539) erlaubt sogar Remote-Code-Ausführung – Angreifer könnten theoretisch Geräte komplett übernehmen, ohne sie je berührt zu haben.

Samsung-Nutzer ebenfalls betroffen

Parallel veröffentlichte Samsung ein eigenes September-Update mit einer weiteren Zero-Day-Reparatur. Die Lücke CVE-2025-21043 wurde von Meta und WhatsApp entdeckt und betrifft die Bildverarbeitung. Schon das Öffnen einer manipulierten Bilddatei in Messengern könnte zur Übernahme des Geräts führen.

Das deutet auf koordinierte Angriffe gegen WhatsApp-Nutzer auf Android und iOS hin.

Sofortiger Handlungsbedarf

Android-Nutzer sollten umgehend prüfen, ob das September-Update verfügbar ist. Der Patch-Level muss mindestens 2025-09-05 betragen – zu finden unter Einstellungen > System > Über das Telefon.

Google hat den Quellcode bereits an Gerätehersteller weitergegeben. Pixel-Geräte erhalten Updates traditionell zuerst, andere Hersteller folgen nach eigenem Zeitplan. Angesichts der aktiven Bedrohung empfehlen Security-Experten Unternehmen, über Mobile-Device-Management den Update-Zwang durchzusetzen.

Wer noch kein Update erhalten hat, sollte besonders vorsichtig mit unbekannten Apps und verdächtigen Nachrichten umgehen – die Angreifer sind bereits aktiv.