Android: Google schließt zwei Zero-Days unter Angriff

Google greift ein: Zwei kritische Sicherheitslücken werden aktuell aktiv ausgenutzt. Die Schwachstellen betreffen nahezu alle modernen Android-Versionen – und die Angriffe tragen die Handschrift professioneller Spyware-Entwickler.

Mit dem Dezember-2025-Sicherheitsupdate beseitigt Google insgesamt 107 Schwachstellen im Android-Ökosystem. Doch zwei davon stechen heraus: CVE-2025-48633 und CVE-2025-48572 werden laut Google bereits „gezielt und begrenzt” ausgenutzt. Diese Formulierung deutet auf hochspezialisierte Angreifer hin – kommerzielle Spyware-Anbieter oder staatlich unterstützte Hackergruppen, die es auf Journalisten, Aktivisten oder Regierungsbeamte abgesehen haben.

Die US-Cybersicherheitsbehörde CISA reagierte umgehend: Beide Lücken landeten im Katalog bekanntermaßen ausgenutzter Schwachstellen. Bundesbehörden müssen ihre Geräte bis zum 23. Dezember 2025 aktualisieren – eine Frist, die auch für Unternehmen als Warnsignal gelten sollte.

Viele Android-Nutzer übersehen grundlegende Schutzmaßnahmen – zwei aktuell ausgenutzte Zero‑Days zeigen, wie schnell Angreifer Systeme kompromittieren können. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone mit klaren Schritt‑für‑Schritt-Anleitungen: automatische Update‑Kontrolle, Berechtigungs-Checks, App‑Prüfung, sichere Backup‑Schritte und Hinweise zur Gerätehärtung gegen Exploits. Ideal für alle, die ihre Geräte sofort schützen wollen. Gratis-Sicherheits-Paket für Android herunterladen

Betroffen ist das Android Framework, die zentrale Schicht des Betriebssystems. Die Lücken existieren in den Android-Versionen 13, 14, 15 und 16 – praktisch alle aktuellen Geräte sind verwundbar, bis sie das Update erhalten.

CVE-2025-48633 ermöglicht unbefugten Zugriff auf sensible Informationen. Angreifer können damit Schutzmechanismen wie die Speicher-Randomisierung umgehen oder vertrauliche Daten aus dem Arbeitsspeicher auslesen. Was harmlos klingt, bildet oft den ersten Schritt einer mehrstufigen Angriffskette.

CVE-2025-48572 ist eine Rechteausweitung-Schwachstelle. Hat ein Angreifer bereits einen Fuß in der Tür – etwa durch eine manipulierte App –, kann er damit Systemrechte erlangen. Die Android-Sandbox, die Apps voneinander trennen soll, wird ausgehebelt. Nachrichten, Fotos, Standortdaten: Alles liegt plötzlich offen.

„Solche Schwachstellen sind der Generalschlüssel für Angreifer”, erklärt ein Sicherheitsanalyst. „Mit System-Privilegien sind die eingebauten Abwehrmechanismen praktisch wirkungslos.”

Spyware-Spur: Gezielte Attacken statt Massenangriffe

Googles Hinweis auf „begrenzte, gezielte” Ausnutzung lässt aufhorchen. Anders als bei Phishing-Wellen, die Millionen Nutzer treffen, deutet diese Formulierung auf chirurgische Präzision hin.

Die Indizien weisen auf kommerzielle Überwachungssoftware-Hersteller wie NSO Group, Intellexa oder Candiru. Diese Firmen entwickeln Exploitketten, die mehrere Schwachstellen verknüpfen und Zielgeräte oft ohne jede Nutzerinteraktion infizieren. Während CVE-2025-48633 den Speicher kartiert, verschafft CVE-2025-48572 dauerhafte Kontrolle.

„Die Entdeckung dieser Zero-Days zeigt die unermüdliche Beharrlichkeit der Spyware-Industrie”, konstatieren Forscher von SOCRadar. „Angreifer scannen das Android Framework systematisch nach Schwachstellen, die sie ausnutzen können, bevor die Hersteller reagieren.”

Obwohl Google keine Zuschreibung vornimmt, passt das Muster zu bekannten Söldner-Software-Operationen. Besonders gefährdet: Personen des öffentlichen Lebens in sensiblen Regionen.

CISA schlägt Alarm: Frist bis 23. Dezember

Die US-Behörde CISA nahm beide Lücken am 2. Dezember – nur Stunden nach Veröffentlichung des Bulletins – in ihren Katalog kritischer Schwachstellen auf. Bundesbehörden müssen bis zum 23. Dezember patchen.

Diese Anordnung gilt zwar rechtlich nur für US-Bundesbehörden, doch die Signal-Wirkung ist eindeutig. „Wenn CISA eine Schwachstelle katalogisiert, sollte die Privatwirtschaft hellhörig werden”, warnt ein Compliance-Experte. „IT-Administratoren müssen diese Updates priorisieren, besonders auf Geräten von Führungskräften oder Mitarbeitern in Risikogebieten.”

Weitere kritische Lücken geschlossen

Neben den Zero-Days behebt das Dezember-Update über 100 weitere Schwachstellen. Herausragend: CVE-2025-48631, eine kritische Denial-of-Service-Lücke im Android Framework.

Ein Angreifer könnte damit ein Gerät dauerhaft unbrauchbar machen – ohne zusätzliche Rechte zu benötigen. Im schlimmsten Fall droht ein nicht endendes Neustarten oder die Notwendigkeit eines Factory-Reset. Zwar gibt es keine Hinweise auf aktive Ausnutzung, doch die Einstufung als „kritisch” spricht Bände.

Zusätzlich wurden Dutzende Schwachstellen in Drittanbieter-Komponenten geschlossen:
– Qualcomm: 11 Patches, darunter zwei kritische
– MediaTek: 17 Patches
– Arm und Unisoc: mehrere hochgradig kritische Fixes
– Kernel: 9 Schwachstellen, vier davon kritisch

Fragmentierung bleibt Herausforderung

Wie üblich variiert der Rollout erheblich zwischen Herstellern. Googles Pixel-Geräte erhielten das Update als erste. Samsung, Motorola und Xiaomi folgen in den kommenden Tagen und Wochen.

Das Dezember-Bulletin definiert zwei Patch-Level:
– 2025-12-01: Framework und System (einschließlich der Zero-Days)
– 2025-12-05: Zusätzlich Drittanbieter-Komponenten und Kernel

Ausblick: Das Katz-und-Maus-Spiel verschärft sich

Dass diese Zero-Days selbst Android 16 betreffen, zeigt: Je sicherer Betriebssysteme werden, desto tiefer graben Angreifer nach Schwachstellen in Kernkomponenten. Das Wettrüsten zwischen Plattform-Verteidigern und Spyware-Anbietern kennt keine Pause.

„Das Zeitfenster zwischen Entdeckung und Ausnutzung schrumpft”, warnt ein Threat-Intelligence-Forscher. „Für Hochrisiko-Nutzer ist passives Warten auf automatische Updates keine Option mehr. Bei aktiven Zero-Days zählt jede Stunde.”

PS: Wenn gezielte Spyware-Angriffe möglich sind, reichen einfache Maßnahmen oft nicht aus – aber sie senken das Risiko erheblich. Fordern Sie jetzt den kostenlosen Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone“ an: Praxisnahe Checklisten für Update-Management, Rechte‑ und Berechtigungs‑Audits, App‑Prüfung und Notfall‑Verhalten nach Verdacht auf Infektion. Schnell umsetzbare Schritte, auch für weniger Technik‑affine Nutzer. Jetzt Gratis-Schutzpaket anfordern