Nutzer von Android-Smartphones sollten jetzt aktiv werden. Ein aktuelles Update von Google beseitigt zwei ernsthafte Lücken im Betriebssystem, die bereits aktiv ausgenutzt wurden.
Zusätzlich werden über 60 weitere Fehler behoben, die Angriffe auf persönliche Daten ermöglichten. Wer das Update noch nicht installiert hat, sollte dies schnellstmöglich nachholen, um sein Gerät zu schützen.
Zwei kritische Schwachstellen bereits in Nutzung
Google hat ein Sicherheitsupdate für Android herausgegeben, das unter anderem zwei sogenannte Zero-Day-Lücken schließt. Dabei handelt es sich um bisher unbekannte Fehler im System, die von Angreifern ausgenutzt wurden, noch bevor ein entsprechendes Update zur Verfügung stand.
Die betroffenen Sicherheitslücken ermöglichten unter anderem den unautorisierten Zugriff auf persönliche Daten, ohne dass die betroffenen Nutzer dies bemerken konnten. Insgesamt umfasst die Aktualisierung 62 Sicherheitskorrekturen, die unterschiedliche Angriffspunkte betreffen – darunter sowohl Zugriffsmöglichkeiten auf sensible Informationen als auch Schwächen, die Rechteausweitungen ermöglichen.
Missbrauch durch Behörden nachgewiesen
Eine der Schwachstellen wurde Berichten zufolge von staatlichen Stellen in Serbien (Land auf dem Balkan, südöstliches Europa) gemeinsam mit dem Unternehmen Cellebrite aus Israel ausgenutzt. Ziel war es, gesperrte Smartphones zu entsperren und deren Inhalte auszulesen. Amnesty International entdeckte diesen Missbrauch im Zuge einer Untersuchung von Aktivitäten auf entsperrten Mobilgeräten.
Die zweite Lücke wurde laut Google bereits im November 2024 geschlossen. Auch sie wurde laut der Sicherheitsforschergruppe Project Zero von staatlichen Stellen verwendet, um gezielt gegen kritische Stimmen wie Journalistinnen und Journalisten sowie Aktivisten vorzugehen.
Wichtige Details zum April-Update
Mit dem April-Update 2025 schloss Google eine weitere, besonders gefährliche Schwachstelle im sogenannten Android-Kernel. Dabei handelt es sich um einen zentralen Teil des Betriebssystems. Die Lücke trug die Kennung CVE-2024-53150 und erlaubte das unbemerkte Auslesen persönlicher Informationen – und zwar ohne dass der Nutzer etwas tun musste. Zusätzlich wurden 60 weitere Fehler behoben, die unter anderem zur ungewollten Erweiterung von Benutzerrechten führen konnten.
Google hatte die Patches bereits im Januar 2025 erstellt und seine Partnerunternehmen informiert. Diese Patches sind nun allgemein verfügbar. Alle Nutzerinnen und Nutzer eines Android-Geräts sollten die Systemaktualisierung über die Einstellungen ihres Geräts prüfen und gegebenenfalls installieren.
Parallele Bedrohung auch unter Windows
Nicht nur Android ist derzeit betroffen. Auch Nutzer von Windows sollten wachsam sein: Aktuell wird ebenfalls vor einer Schwachstelle im System von Microsoft gewarnt. Details dazu sind bisher noch begrenzt, dennoch gilt auch hier: Wer sein System aktuell hält, verringert das Risiko erheblich.
