Android-Sicherheit: Google schließt kritische Zero-Click-Lücke

Googles erstes Sicherheitsupdate des Jahres schließt eine gefährliche Schwachstelle im Audio-Decoder. Gleichzeitig warnt die Sicherheitsbranche vor der neuen NFC-Malware 'Ghost Tap'.

Google veröffentlicht das erste Sicherheitsbulletin des Jahres für Android. Es schließt eine gefährliche Zero-Click-Schwachstelle im Audio-Decoder. Gleichzeitig warnen Experten vor einer neuen NFC-Betrugsmasche namens “Ghost Tap”.

Kritischer Patch für den Dolby-Decoder

Im Zentrum des Updates steht eine als “kritisch” eingestufte Lücke (CVE-2025-54957). Sie betrifft den Dolby Digital Plus Decoder, der auf fast allen Android-Geräten für die Audioverarbeitung zuständig ist. Die Besonderheit: Es handelt sich um eine “Zero-Click”-Schwachstelle.

Ein Angreifer kann Schadcode einschleusen, ohne dass der Nutzer etwas tun muss. Der bloße Empfang einer manipulierten Audiodatei über einen Messenger reicht aus. Der Decoder stürzt beim Verarbeiten der Metadaten ab oder führt fremden Code aus.

Viele Android-Nutzer übersehen diese 5 einfachen Schutzmaßnahmen – und riskieren damit, dass Schadsoftware wie “Ghost Tap” Zugriff auf Zahlungsdaten oder Systemfunktionen erhält. Unser Gratis-Ratgeber erklärt Schritt für Schritt, wie Sie automatische Updates aktivieren, sichere App-Quellen prüfen, NFC-Einstellungen härten und Berechtigungen sinnvoll einschränken. Praktische Checklisten helfen beim sofortigen Umsetzen auf Pixel, Samsung & Co. Jetzt Gratis-Sicherheits-Paket für Android herunterladen

Google hatte den Patch für seine Pixel-Geräte bereits im Dezember ausgeliefert. Für das gesamte Android-Ökosystem ist er nun mit dem Sicherheitslevel vom 5. Januar verfügbar. Nutzer von Samsung, Xiaomi und anderen Herstellern sollten dringend nach dem Update suchen.

“Ghost Tap”: Neue NFC-Betrugswelle rollt an

Parallel dazu schlagen Sicherheitsforscher Alarm. Sie haben eine neue Malware-Kampagne mit dem Namen “Ghost Tap” analysiert. Diese Methode zielt speziell auf die NFC-Funktion für kontaktloses Bezahlen ab.

Das Gefährliche: “Ghost Tap” stiehlt nicht nur Kreditkartendaten. Es leitet die NFC-Signale in Echtzeit an ein anderes Gerät weiter. Hält ein Opfer seine Karte an ein infiziertes Terminal, kann ein Betrüger die Daten zeitgleich an einem Geldautomaten anderswo nutzen.

Die Malware tarnt sich oft als nützliches Tool für Kreditkarten-Management. Sie wird über Drittanbieter-Stores oder manipulierte Werbeanzeigen verbreitet. Die klare Empfehlung: Solche Apps nur aus dem offiziellen Google Play Store laden.

Updates: Pixel-Probleme und Samsungs Tempo

Die Auslieferung der Januar-Updates verläuft nicht reibungslos. Nutzer der Google Pixel 10-Serie berichten von Problemen. Nach der Installation eines kleinen Google Play-Systemupdates kam es zu schwarzen Bildschirmen und Systemabstürzen.

Die Fehler lassen sich oft nur durch einen erzwungenen Neustart beheben. Pixel-Besitzer sollten Foren im Auge behalten, bevor sie das neueste Play-Systemupdate installieren.

Samsung zeigt sich dagegen besonders schnell. Nutzer im Beta-Programm für One UI 8.5 auf der Galaxy S25-Serie erhielten den Patch bereits Anfang der Woche. Zudem hat Samsung seine Support-Liste aktualisiert: Das neue Galaxy Z TriFold erhält nun monatliche Updates, während der Support für das ältere Galaxy A03 Core endet.

Googles Strategiewechsel für mehr Sicherheit

Google ändert eine grundlegende Regel für Android. Der Konzern stellt den Veröffentlichungszyklus für den Quellcode des Android Open Source Project (AOSP) um.

Statt unregelmäßiger Updates gibt es künftig halbjährliche Veröffentlichungen im zweiten und vierten Quartal. Analysten sehen darin eine Reaktion auf die “Trunk Stable”-Strategie, die die Fragmentierung des Systems verringern soll.

Langfristig profitieren Nutzer: Hersteller wie Samsung oder Xiaomi können neue Android-Versionen und Sicherheitsfunktionen schneller auf ihre Geräte bringen. Das könnte die oft wochenlange Wartezeit auf wichtige Patches verkürzen.

Was Nutzer jetzt tun sollten

Die ersten Wochen des Jahres zeigen die zwei Gesichter der Mobilbedrohungen: Tief im System verankerte Zero-Click-Lücken und Social-Engineering-Angriffe wie “Ghost Tap”. Gegen Ersteres hilft nur eins: schnelle Updates.

• Update prüfen: Gehen Sie in die Einstellungen unter Sicherheit & Datenschutz > System & Updates und installieren Sie das Sicherheitsupdate vom 5. Januar 2026.
• Quellen checken: Laden Sie Apps, die mit NFC oder Zahlungsdaten zu tun haben, ausschließlich aus dem Google Play Store.
• Pixel im Blick behalten: Besitzer eines Pixel 10 sollten mit dem neuesten Google Play-Systemupdate warten, bis der “Black Screen”-Bug behoben ist.

PS: Viele Angriffe zielen genau auf die täglichen Gewohnheiten – unsichere NFC-Apps, fehlende Updates oder zu großzügige Berechtigungen. Das kostenlose Sicherheitspaket zeigt die fünf wichtigsten Schritte, die Sie sofort umsetzen können, und liefert eine praktische Checkliste für Pixel, Samsung & Co., damit Ihre Karten- und Kontodaten geschützt bleiben. Gratis-Android-Schutzpaket jetzt anfordern