Google schließt kritische Android-Lücke in Dolby-Codec

Eine schwerwiegende Sicherheitslücke im Dolby Digital Plus-Codec ermöglichte Angreifern die Fernübernahme von Android-Geräten – ohne dass Nutzer etwas tun mussten. Google hat nun ein kritisches Update bereitgestellt.

Google drängt alle Android-Nutzer zu sofortigen Updates. Der Konzern hat eine kritische Zero-Click-Sicherheitslücke im weit verbreiteten Dolby Digital Plus-Codec geschlossen. Die als CVE-2025-54957 bekannte Schwachstelle hätte Angreifern erlaubt, schädlichen Code aus der Ferne auszuführen, allein durch das Senden einer manipulierten Audiodatei.

Im Zentrum des Januar-Updates steht ein Fehler im Dolby Unified Decoder. Diese Komponente verarbeitet Audiostreams auf Android-Geräten. Sicherheitsforscher von Google Project Zero entdeckten das Problem bereits Mitte 2025: Ein Integer-Überlauf führte zu einem „Out-of-Bounds Write“.

Viele Besitzer von Android‑Handys wissen nicht, welche Einstellungen ihr Gerät gegen automatisch geladene Mediendateien und Zero‑Click‑Angriffe absichern. Das kostenlose Android‑Startpaket führt Sie Schritt für Schritt durch die wichtigsten Schutzmaßnahmen – von sicheren Update‑Routinen bis zum Deaktivieren automatischer Medien‑Downloads in Nachrichten-Apps. Ideal für Einsteiger und alle, die ihr Smartphone jetzt sofort schützen möchten. Jetzt Android‑Startpaket sichern

Die Gefahr liegt in der Automatisierung. Auf Android werden Mediendateien aus Nachrichten-Apps wie RCS oder MMS oft automatisch decodiert, um Vorschauen zu generieren. Ein Angreifer hätte ein Gerät also kompromittieren können, indem er einfach eine präparierte Audiodatei verschickte – ohne dass das Opfer die Nachricht öffnen oder die Datei abspielen musste.

Bewertungs-Diskrepanz: Warum Google von „kritisch“ spricht

Die Einschätzung des Risikos sorgte für Diskussionen. Während Dolby die Lücke als „moderat“ (CVSS 6.5) einstufte, bewertete Google sie für Android als „kritisch“. Der Grund liegt im Ökosystem.

In isolierten Audiogeräten ist das Risiko geringer. Im Android-System jedoch, wo Codecs tief integriert sind und ständig mit nicht vertrauenswürdigen Daten von außen konfrontiert werden, ist die potenzielle Wirkung viel höher. Betroffen sind die Android-Versionen 13, 14, 15 und 16. In Kombination mit anderen Schwachstellen hätte die Lücke Angreifern erhöhte Privilegien oder sogar die vollständige Kontrolle über das Gerät verschaffen können.

Update-Rollout: Pixel-Geräte zuerst, Samsung folgt

Nach der Veröffentlichung des Security Bulletins haben die Hersteller ihre Update-Kanäle aktiviert. Google Pixel-Geräte erhalten das Patch-Update sofort über die Luft (OTA). Samsung bestätigte die Aufnahme des Fixes in sein monatliches Sicherheits-Update (SMR) für Januar 2026.

Sicherheitsexperten raten Nutzern, das Update umgehend zu installieren. Bis dahin könne man als Notlösung die automatische Medien-Download-Funktion in Nachrichten-Apps deaktivieren. Die Details der Schwachstelle sind seit Oktober 2025 öffentlich – die Zeit zum Handeln ist also knapp.

Medien-Codecs: Das ewige Sicherheitsrisiko

Die Patches für CVE-2025-54957 unterstreichen ein Dauerthema der Mobil-Sicherheit: die Anfälligkeit von Medien-Bibliotheken. Codecs, die komplexe, komprimierte Datenformate verarbeiten müssen, waren schon häufiger Ziel von „Stagefright“-ähnlichen Angriffen.

Die Integration proprietärer Drittanbieter-Code wie des Dolby-Decoders stellt Betriebssystem-Entwickler vor besondere Herausforderungen. Im Gegensatz zu Open-Source-Komponenten sind sie auf den Hersteller für Fehlerbehebungen angewiesen. Die Zusammenarbeit zwischen Project Zero und Dolby zeigt zwar die Notwendigkeit branchenübergreifender Kooperation. Die Zeitspanne zwischen der Offenlegung im Oktober und dem Patch im Januar offenbart aber auch die Reibungsverluste im Sicherheitsmodell der Lieferkette.

Fragmentierung bleibt das Problem

Während Flagship-Geräte von Google und Samsung nun abgesichert sind, bleibt die Frage nach Budget- und Mittelklasse-Handys anderer Hersteller. Deren Updates verzögern sich oft erheblich – ein strukturelles Problem des fragmentierten Android-Ökosystems.

Zukünftig erwarten Sicherheitsarchitekten eine weitere Abschottung des Android-Medien-Frameworks. Künftige Versionen des Betriebssystems sollen strengere Beschränkungen für die Speicherverwaltung durch Drittanbieter-Parser einführen. Damit ließen sich ganze Klassen von Pufferüberlauf-Schwachstellen entschärfen. Bis dahin bleibt die regelmäßige Installation von Sicherheitsupdates die wichtigste Verteidigungslinie für Millionen Nutzer.

PS: Sie sorgen sich wegen Schwachstellen wie CVE‑2025‑54957? Das kostenlose Android‑Smartphone‑Startpaket erklärt in klaren Schritten, welche Einstellungen Sie sofort prüfen, wie Sie automatische Downloads und App‑Berechtigungen sicher konfigurieren und welche Notfall‑Schritte bei Verdacht helfen. Zusätzlich erhalten Sie einen gratis 5‑teiligen E‑Mail‑Grundkurs für Android‑Einsteiger. Gratis‑Android‑Guide & E‑Mail‑Kurs anfordern