Android: 107 Sicherheitslücken in massivem Update geschlossen

Google kämpft gegen aktiv ausgenutzte Schwachstellen. Das Dezember-Update für Android 13 bis 16 markiert eine der größten Sicherheitsoffensiven des Jahres – pünktlich zur Weihnachtssaison.

Über 107 Sicherheitslücken auf einen Schlag: Google hat gestern Abend ein gewaltiges Update für das Android-Ökosystem veröffentlicht. Besonders brisant: Zwei der geschlossenen Schwachstellen werden bereits aktiv von Angreifern ausgenutzt. Für Millionen Nutzer von Android 13, 14, 15 und dem brandneuen Android 16 wird die Installation damit zur Pflichtaufgabe.

Die beiden gefährlichsten Lücken haben Hacker bereits entdeckt und nutzen sie gezielt aus, bevor Google reagieren konnte. Diese sogenannten Zero-Day-Schwachstellen bedrohen Privatsphäre und Geräteintegrität unmittelbar.

CVE-2025-48633 ermöglicht es Angreifern, sensible Daten aus dem Android Framework abzugreifen – ohne zusätzliche Rechte zu benötigen. Die zweite Lücke, CVE-2025-48572, wiegt noch schwerer: Sie verschafft Hackern erweiterte Systemrechte und hebelt damit Standard-Sicherheitsmechanismen aus.

Viele Android-Nutzer übersehen gerade jetzt wichtige Schutzmaßnahmen — Googles Dezember-Patch schließt 107 Lücken, zwei davon werden bereits aktiv ausgenutzt. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schritte, um Ihr Android-Gerät sofort zu härten: automatische Updates, App‑Prüfung, Berechtigungen, Backup und sichere Surf‑Gewohnheiten. Holen Sie sich die Schritt‑für‑Schritt‑Anleitung mit Checklisten per E‑Mail. Gratis-Android-Sicherheits-Paket herunterladen

Google bestätigt in seinem am 1. Dezember veröffentlichten Sicherheitsbulletin, dass beide Schwachstellen “möglicherweise gezielt und begrenzt ausgenutzt werden”. Details zu den Angreifern oder ihren Zielen hält das Unternehmen bewusst zurück – um Nachahmungstäter nicht auf Ideen zu bringen.

Kritische Schwachstelle könnte Geräte lahmlegen

Neben den aktiven Bedrohungen schließt das Update eine kritische Lücke mit der höchsten Gefahrenstufe. CVE-2025-48631 könnte Smartphones komplett außer Gefecht setzen.

Die Schwachstelle ermöglicht Remote-Denial-of-Service-Angriffe (DoS) – und das ohne jegliche Nutzerinteraktion. Angreifer könnten Geräte aus der Ferne zum Absturz bringen oder in endlose Neustartschleifen zwingen. “Die Schwere basiert auf den möglichen Auswirkungen einer erfolgreichen Ausnutzung”, erklärt Google im Bulletin.

Umfassende Patches für alle Komponenten

Mit 107 behobenen Sicherheitslücken fällt das Dezember-Update deutlich größer aus als üblich. Google teilt die Fixes in zwei Stufen auf:

Patch-Level 2025-12-01 behebt 37 Schwachstellen im Framework und 14 in Systemkomponenten. Patch-Level 2025-12-05 umfasst hardwarespezifische Korrekturen für Kernel, Arm, Imagination Technologies, MediaTek, Unisoc und Qualcomm.

Die Bandbreite reicht von Einsteiger-Smartphones bis zu Flaggschiffen. Dass auch Android 16-Geräte betroffen sind, zeigt: Selbst brandneue Systeme benötigen diese Patches dringend.

Samsung reagiert blitzschnell

Der südkoreanische Konzern hat bereits reagiert. Samsung bestätigte parallel zu Google, die 57 Android-Fixes übernommen und um 11 eigene One-UI-Verbesserungen ergänzt zu haben. Die kritische Lücke CVE-2025-48631 ist geschlossen – das Update erreicht bereits erste Galaxy-Geräte.

Bedrohungslage verschärft sich

Über 100 Fixes in einem Monat – das signalisiert eine veränderte Bedrohungslage zum Jahresende 2025. Angreifer konzentrieren sich zunehmend auf das Android Framework, die zentrale Schaltstelle zwischen Apps und Systemressourcen. Wer hier eindringt, umgeht oft App-Sicherheitsmechanismen komplett.

“Zwei gleichzeitige Zero-Days im Framework sind ungewöhnlich”, analysiert ein Sicherheitsforscher. “Das zeigt, dass Angreifer die Komplexität moderner Android-Versionen erfolgreich ausnutzen. Dass Android 13 bis 16 betroffen sind, beweist: Alter Code schlummert selbst in neuester Software.”

Die Update-Verteilung bleibt problematisch. Während Google Pixel und Samsung Galaxy zügig versorgt werden, warten Nutzer anderer Marken oft wochenlang – und bleiben in dieser Zeit potenziell verwundbar.

Was Nutzer jetzt tun sollten

Google veröffentlicht die Patches innerhalb von 48 Stunden im Android Open Source Project (AOSP). Custom-ROM-Entwickler und Hersteller können dann sofort eigene Updates erstellen.

Pixel-Besitzer erhalten das Update ab 5. Dezember. Samsung-Nutzer sollten manuell nach Updates suchen, falls noch keine Benachrichtigung eingegangen ist.

Der Check: Einstellungen > Sicherheit & Datenschutz > Systemupdate öffnen und Patch-Level prüfen. Das Dezember-2025-Update sollte sofort installiert werden, sobald es verfügbar ist. Angesichts der aktiv ausgenutzten Schwachstellen gibt es keine Zeit zu verlieren.

PS: Sie haben das Update vielleicht schon installiert — schützen Sie Ihr Handy zusätzlich vor Datendiebstahl und Schadsoftware. Das kostenlose Ratgeber‑Paket zeigt einfach umsetzbare Maßnahmen, die kein zusätzliches Abo erfordern, inklusive Checkliste für Bank‑ und Messenger‑Apps. Perfekt für Android 13–16‑Nutzer, die ihre Privatsphäre sofort stärken wollen. Jetzt kostenloses Android-Schutzpaket anfordern