Android-Update: Google schließt 100+ Lücken – Paket-SMS explodieren

Google stopft über 100 Sicherheitslücken in Android, darunter zwei aktiv ausgenutzte Zero-Days. Gleichzeitig erreicht die Welle betrügerischer Paket-SMS im Weihnachtsgeschäft einen neuen Höhepunkt. Wer jetzt nicht handelt, macht sich angreifbar.

Das Android Security Bulletin für Dezember 2025 hat es in sich: Google meldet explizit “begrenzte, gezielte Ausnutzung” für zwei kritische Framework-Schwachstellen. Angreifer nutzten diese Lücken bereits, bevor das Update verfügbar war.

CVE-2025-48633 ermöglicht die Offenlegung sensibler Informationen. CVE-2025-48572 verschafft Angreifern erweiterte Systemrechte. Hinzu kommt CVE-2025-48631 – eine kritische DoS-Lücke, die Geräte aus der Ferne lahmlegen könnte, ohne dass besondere Berechtigungen nötig wären.

Das Update erscheint in zwei Stufen: Patch-Level 2025-12-01 deckt Kernkomponenten ab, 2025-12-05 sichert zusätzlich herstellerspezifische Treiber von Qualcomm und MediaTek. Pixel-Nutzer (ab Pixel 6) erhalten die Patches bereits mit Android 16 QPR2.

Passend zum Thema Android-Sicherheit: Viele Android-Nutzer übersehen genau die Einstellungen, die bei Paket-SMS- und Systemlücken den entscheidenden Schutz bieten. Unser gratis Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen – von Auto-Blocker-Checks über sichere Update-Routinen bis zur App-Hygiene – mit klaren Schritt-für-Schritt-Anleitungen und praktischen Checklisten. Das PDF erhalten Sie sofort per E‑Mail und eignet sich besonders für Nutzer, die viel online shoppen oder mobile Banking nutzen. Jetzt das kostenlose Android-Sicherheitspaket anfordern

Samsung liefert 68 Korrekturen nach

Samsung zieht mit seinem Security Maintenance Release (SMR) für Dezember parallel. Das Update bringt nicht nur Googles Patches, sondern auch 68 eigene Korrekturen für One UI.

Die Verteilung läuft: Galaxy S24 und S25 werden priorisiert. Wer nicht warten will, sollte unter „Einstellungen > Software-Update” manuell prüfen – die automatische Benachrichtigung hinkt oft hinterher.

Paket-SMS: Kriminelle treffen ins Schwarze

Das Timing der Angreifer sitzt perfekt. Während Millionen Deutsche Weihnachtsgeschenke bestellen, fluten betrügerische Paket-SMS die Smartphones. Die Masche: “Ihr Paket konnte nicht zugestellt werden. Bitte zahlen Sie 1,99€ Zollgebühr hier: [Link]” oder “Ihre Adresse ist unvollständig”.

Das Perfide in 2025: Die verlinkten Seiten sind exakte Kopien von DHL-, Hermes- oder DPD-Portalen. Wer Daten eingibt, riskiert nicht nur Kreditkartenmissbrauch, sondern auch Abo-Fallen oder Malware-Installation via Drive-by-Download.

Die goldene Regel: Niemals Links in SMS-Nachrichten anklicken. Sendungsnummern ausschließlich in offiziellen Apps oder manuell auf Anbieter-Webseiten eingeben.

Auto Blocker auf Maximum stellen

Bloßes “Aufpassen” reicht längst nicht mehr. Experten empfehlen technische Hürden:

• Auto Blocker (Samsung) & Lockdown Mode (Apple): Blockieren App-Installation aus unautorisierten Quellen und schränken USB-Befehle ein. Samsung-Nutzer sollten die Funktion unter “Automatische Sperre” auf Maximum stellen.

• Passkeys statt Passwörter: Biometrisch gesicherte Anmeldeverfahren sind immun gegen Phishing – kein Passwort, das abgegriffen werden kann.

• App-Hygiene: Ungenutzte Apps löschen. Jede installierte Anwendung vergrößert die Angriffsfläche, wie die aktuellen Framework-Lücken zeigen.

BSI bestätigt: Reaktionszeit schrumpft

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem Lagebericht 2025: Die Zeit zwischen Lückenentdeckung und Ausnutzung schrumpft dramatisch. Dass Google bereits aktive Ausnutzungen meldet, unterstreicht die Brisanz.

Für 2026 setzen Experten auf On-Device AI: KI-Funktionen sollen betrügerische SMS und Anrufe in Echtzeit erkennen, bevor Nutzer überhaupt reagieren können. Bis dahin bleibt das manuelle Update die wichtigste Verteidigung.

Was jetzt zu tun ist

Drei Schritte für dieses Wochenende:

1. Update-Status prüfen (Einstellungen > Sicherheit & Datenschutz)
2. Familie warnen vor Paket-SMS
3. Ungenutzte Apps löschen

Wer diese Punkte ignoriert, macht sich im Weihnachtsgeschäft zur leichten Beute. Die Angreifer sind längst aktiv – die Frage ist nur, ob Ihr Gerät geschützt ist.

PS: Diese 5 Maßnahmen machen Ihr Android spürbar sicherer und schließen die Lücken, die Betrüger bei Paket-SMS ausnutzen. Der kostenlose Ratgeber zeigt Schritt-für-Schritt, wie Sie Auto-Blocker richtig konfigurieren, Passkeys einrichten und Phishing-Links sicher erkennen – inklusive einer praktischen Checkliste, die Sie sofort abarbeiten können. Ideal für alle, die in der Weihnachtszeit viel bestellen und mögliche Betrugsversuche schnell abwehren wollen. Gratis-Sicherheitspaket für Android herunterladen