Dolby-Lücke in Android erlaubt Zero-Click-Angriffe

Eine kritische Sicherheitslücke im Dolby-Audiosystem von Android ermöglichte Angriffen ohne Nutzerinteraktion. Allein der Empfang einer manipulierten Audiodatei konnte ausreichen, um die Kontrolle über das Gerät zu erlangen. Google hat die Schwachstelle mit dem Januar-Update geschlossen.

So funktionierte der gefährliche Audio-Angriff

Der Fehler steckte im Dolby Digital Plus (DD+)-Decoder. Angreifer konnten eine speziell präparierte Audiodatei erstellen, die beim Verarbeiten einen Integer-Überlauf auslöste. Dies führte zu einer Speicherbeschädigung, einem sogenannten “Out-of-Bounds Write”.

Die große Gefahr: Android verarbeitet eingehende Audio-Dateien wie Sprachnachrichten oft automatisch im Hintergrund. Ein Angriff konnte daher bereits beim bloßen Empfang einer Nachricht erfolgreich sein – der Nutzer musste nichts öffnen oder antippen. Sicherheitsexperten sprechen von einem “Zero-Click”-Angriff.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen – und genau solche Lücken machen Zero‑Click-Angriffe möglich. Unser kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie automatische Medienverarbeitung einschränken, RCS und Messenger sicher konfigurieren, automatische Downloads blockieren und Ihr System richtig patchen. Mit praktischer Checkliste und klaren Anleitungen, die sich schnell umsetzen lassen. Der Ratgeber ist kostenlos per E‑Mail erhältlich und richtet sich an alle Android‑Nutzer. Gratis-Sicherheitspaket: 5 Schutzmaßnahmen für Android herunterladen

Millionen Geräte waren betroffen

Die Lücke mit der Kennung CVE-2025-54957 betraf den Dolby Unified Decoder in den Versionen 4.5 bis 4.13. Diese Komponente ist nicht nur in Android, sondern auch in Windows, macOS und iOS verbreitet. Google-Forscher demonstrierten erfolgreiche Abstürze auf Geräten wie dem Pixel 9 und Samsung Galaxy S24.

Während Dolby die Bedrohung zunächst als “moderat” einstufte, bewerteten Google und Cybersicherheitsbehörden sie als kritisch. Die belgische Sicherheitsbehörde riet zeitweise sogar, den RCS-Nachrichtendienst zu deaktivieren, um das Risiko zu minimieren.

Update schließt die Lücke – Installation ist Pflicht

Google hat reagiert und die Schwachstelle mit dem Sicherheitsupdate für Januar 2026 geschlossen. Eine erste Korrektur gab es bereits im Dezember für Pixel-Geräte. Nun erhalten alle unterstützten Android-Smartphones den Patch.

• Betroffene Komponente: Dolby Unified Decoder (UDC)
• Angriffsvektor: Manipulierte DD+-Audiodatei
• Erforderliche Nutzeraktion: Keine (Zero-Click)
• Status: Durch Januar-Update 2026 behoben

Experten drängen alle Nutzer, das Update sofort zu installieren. Die Verteilung erfolgt schrittweise – zuerst an Pixel-Geräte, dann an Modelle anderer Hersteller.

Mediendateien bleiben ein riskantes Einfallstor

Die Lücke erinnert an frühere Android-Schwachstellen wie “Stagefright”. Komplexe Medienformate sind fehleranfällig und bieten Angreifern immer wieder Angriffsflächen. Da Decoder tief im System verankert sind, können solche Lücken besonders schwerwiegende Folgen haben.

Der Trend zu automatischer Hintergrundverarbeitung für mehr Komfort vergrößert die Angriffsfläche. Gleichzeitig steigt die Beliebtheit von Zero-Click-Angriffen, da sie keine sichtbare Interaktion des Opfers benötigen und so unentdeckt bleiben können.

Was bedeutet das für die Zukunft? Hersteller müssen Medienverarbeitungskomponenten besser isolieren und die Speicherüberprüfungen verschärfen. Für Nutzer bleibt nur ein Rat: Updates sofort installieren und bei unbekannten Absendern besonders vorsichtig sein.

PS: Sie möchten Ihr Android umfassend schützen? Unser kostenloser Guide fasst die fünf wichtigsten Maßnahmen zusammen, mit denen Sie automatische Medienverarbeitung begrenzen, Update‑Strategien einrichten und Messenger sicher nutzen. Enthalten sind einfache Einstellungstipps für RCS und automatische Downloads sowie eine kompakte Checkliste – ideal nach dem jüngsten Dolby-Bug. Jetzt Android-Schutz-Guide per E‑Mail anfordern