heise PlusAbo
Anzeige
Alert!

Android: Aktueller Patch schĂĽtzt vor Zero-Click-Attacke

Androidgeräte sind für eine Zero-Click-Attacke anfällig. Dieses Sicherheitsproblem wurde nun gelöst.

vorlesen Druckansicht 15 Kommentare lesen
GrĂĽne Android-Figur vor Schloss-Symbol

(Bild: Primakov/Shutterstock.com)

Update
Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Wenn Angreifer Opfern unter Android eine bestimmte präparierte Sounddatei unterschieben, kann es zu Fehlern und Abstürzen kommen. Schon der Empfang einer solchen Datei kann zu Problemen führen, weil Android Audio-Nachrichten zur Transkription lokal dekodiert und damit eine Zero-Click-Attacke möglich ist. Diese Lücke ist schon seit Oktober vergangenen Jahres bekannt und wurde unter anderem bereits in Windows geschlossen. Nun gibt es das Sicherheitsupdate auch für Android-Geräte.

LĂĽcke unter Android kritisch?

Die Schwachstelle (CVE-2025-54957 „mittel“) betrifft die Verarbeitung von Dolby-Digital-Plus-Bitstreams. Manipulieren Angreifer solche Sounddateien, kommt es zu einem Speicherfehler, was zu Abstürzen führt. Oft kann in so einem Kontext auch Schadcode auf Systeme gelangen. Ob das in diesem Fall auch klappt, ist bislang unklar. Es gibt noch keine Berichte, dass Angreifer die Lücke bereits ausnutzen.

Videos by heise

Die Schwachstelle haben Sicherheitsforscher von Googles Project Zero entdeckt. Seitdem gibt es auch Sicherheitsupdates für Windows und andere. Weil Android Audio-Nachrichten zur Transkription lokal dekodiert, kann es zu einer Zero-Click-Attacke kommen. Das bedeutet, dass der alleinige Empfang einer präparierten Audiodatei ohne Zutun eines Opfers Schaden anrichten kann. Das ist offensichtlich auch der Grund, warum die Android-Entwickler die Lücke in einer Warnmeldung als „kritisch“ einstufen.

Wer ein noch im Support befindliches Android-Gerät besitzt, sollte sicherstellen, dass das aktuelle Patch-Level 2026-01-05 installiert ist. Das kann man in den Einstellungen prüfen. Neben Google stellt unter anderem auch Samsung (siehe Kasten) monatlich Sicherheitsupdates für ausgewählte Geräte zum Download bereit.

Update

Googles Pixel-Geräte haben den Dolby-Digital-Sicherheitspatch bereits im Dezember 2025 bekommen.

Seit Juli 2025 schlieĂźt Google monatlich nur noch besonders bedrohliche SicherheitslĂĽcken. Die verbleibenden Patches werden quartalsweise bereitgestellt.

Android-Patchday
Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

(des)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten