Android: Kritische Zero-Day-Lücken bedrohen Millionen Geräte

Das BSI und Google warnen vor zwei aktiv ausgenutzten Sicherheitslücken in Android. Betroffen sind alle Geräte von Android 13 bis zum neuen Android 16. Nutzer sollten sofort ein Update installieren.

Im aktuellen Sicherheits-Bulletin bestätigt Google die aktive Ausnutzung zweier Zero-Day-Schwachstellen. Hacker kannten diese Lücken, bevor ein Schutz verfügbar war.

• CVE-2025-48633: Diese Lücke im Android Framework könnte Angreifern den Zugriff auf eigentlich geschützte, sensible Daten ermöglichen.
• CVE-2025-48572: Noch gefährlicher ist diese Schwachstelle zur Rechteausweitung. Sie könnte Schadcode volle Kontrolle über das Gerät verschaffen – ohne Zustimmung des Nutzers.

In Kombination sind diese Lücken ein mächtiges Werkzeug für gezielte Angriffe, wie sie oft von staatlichen Akteuren oder Spyware-Herstellern genutzt werden.

Von Android 13 bis 16: Fast alle Geräte betroffen

Die Reichweite ist enorm. Alle aktuell unterstützten Android-Versionen sind verwundbar:

• Android 13
• Android 14
• Android 15
• Android 16 (erschienen im Juni 2025)

Besonders brisant: Auch das neue Android 16 auf vielen frisch ausgepackten Weihnachts-Smartphones ist betroffen. Google hat die Patches in zwei Stufen veröffentlicht (2025-12-01 und 2025-12-05), um Herstellern eine schnelle Reaktion zu ermöglichen.

Akute Sicherheitslücken wie diese zeigen, wie wichtig sichere Updates und richtige Einstellungen sind. Der kostenlose Android-Grundkurs liefert ein klares PDF plus einen 5-teiligen E‑Mail-Einsteigerkurs mit Schritt-für-Schritt-Anleitungen zu Update-Checks, Sicherheitseinstellungen und sicheren App-Quellen – ideal, wenn das BSI zur sofortigen Installation rät. So schützen Sie Ihr Smartphone auch dann, wenn der Hersteller-Updatezyklus länger dauert. Jetzt kostenlosen Android-Grundkurs herunterladen

BSI stuft Risiko als „Hoch“ ein

Die Behörden reagierten umgehend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet das Risiko als „Hoch“ (Stufe Rot) und rät zur sofortigen Installation von Updates.

Auch die US-Cybersecuritybehörde CISA hat die Lücken in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen. Dieser Schritt verpflichtet US-Behörden zum Patchen und unterstreicht die akute Gefahr für alle Nutzer.

Das ewige Android-Problem: Wer bekommt das Update?

Der Schutz hängt vom Hersteller ab – das ist das bekannte Fragmentierungs-Problem.

• Google Pixel: Nutzer der Pixel-Serie haben das Update bereits erhalten.
• Samsung: Das Update rollt für Premium-Modelle wie die Galaxy S25-Serie aus. Bei Mittelklasse-Geräten kann es Wochen dauern.
• Andere Hersteller: Bei Xiaomi, Motorola oder Sony variieren die Wartezeiten stark. Ältere oder günstigere Modelle könnten erst 2026 geschützt werden.

Es entsteht ein gefährliches Zeitfenster, in dem Angriffsdetails bekannt, aber viele Geräte noch ungeschützt sind.

Was Nutzer jetzt tun müssen

Prüfen Sie sofort den Update-Status Ihres Geräts. Gehen Sie dazu in die Einstellungen unter Sicherheit & Datenschutz > System & Updates. Ein Patch-Level vom 1. oder 5. Dezember 2025 bedeutet Schutz.

Solange kein Update installiert ist, ist erhöhte Vorsicht geboten: Vermeiden Sie das Installieren von Apps aus unbekannten Quellen und öffnen Sie keine verdächtigen Dateianhänge. Vergessen Sie nach einem Update nicht den notwendigen Neustart des Geräts.