Android: BSI bringt neue Sicherheitswarnung - über 40 Schwachstellen

Das BSI warnt vor mehreren Sicherheitslücken in Android. Google hat im Rahmen des Android Patch Days für Mai 2025 die über 40 Schwachstellen bereits geschlossen. Nutzern wird geraten, das Update schnellstmöglich zu installieren.

Kritische Schwachstellen in Android

Während ein neu entdecktes Sicherheitsrisiko beim Laden von Smartphones weiterhin besteht, hat Google im Rahmen des Android Patch Days für Mai 2025 zahlreiche andere Sicherheitslücken in seinem mobilen Betriebssystem geschlossen. Die Schwachstellen betreffen alle unterstützten Android-Versionen 13, 14 und 15. Auch ältere Versionen wie das kürzlich aus dem Support gefallene Android 12 sind gefährdet, erhalten aber trotz ihrer weiten Verbreitung die Sicherheitspatches nicht mehr.

Besonders besorgniserregend ist, dass eine der Lücken (CVE-2025-27363) vermutlich bereits aktiv ausgenutzt wird. Das Risiken durch andere Schwachstellen, die eine lokale Codeausführung ermöglichen, ohne dass Angreifer zusätzliche Rechte benötigen, werden zudem teils als "hoch" eingestuft. Eine Interaktion des Nutzers ist für die Ausnutzung oft nicht erforderlich.


Insgesamt wurden laut Android Security Bulletin mehr als 40 Sicherheitslücken geschlossen, die verschiedene Komponenten des Betriebssystems betreffen. Die Schwachstellen ermöglichen unter anderem eine Rechteausweitung (Elevation of Privilege), Informationsoffenlegung (Information Disclosure) und Denial-of-Service-Angriffe. Betroffen sind sowohl Framework- und Systemkomponenten als auch Hardware-spezifische Elemente von Qualcomm, MediaTek, ARM und Imagination Technologies.

Hohes Risiko laut BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine entsprechende Warnung herausgegeben und stuft das Risiko als "hoch" ein. Für einige der Schwachstellen reicht es aus, eine bösartige App zu installieren oder eine präparierte Website zu besuchen.

Ein Angreifer kann diese Schwachstellen ausnutzen, um mehr Rechte zu erlangen, beliebige Befehle auf dem Gerät auszuführen, das Gerät zum Absturz zu bringen, private Daten zu stehlen oder anderen unbekannten Schaden anzurichten.

Über die Hälfte aller Android-Nutzer erhält keine Sicherheitsupdates mehr Das BSI rät Nutzern daher zu überprüfen, ob das Android-Update mit dem Sicherheitspatch-Level vom 5. Mai 2025 oder neuer bereits auf ihrem Gerät verfügbar ist. Sollte die Installation möglich sein, wird allen Anwendern geraten, das Update unverzüglich aufzuspielen, um die Lücken zu schließen. Sicherheitsupdates werden als Teil der monatlichen Sicherheitspatches verteilt, die Google regelmäßig für das mobile Betriebssystem bereitstellt.

Das Android Security Bulletin wird monatlich veröffentlicht und enthält Details zu allen behobenen Sicherheitslücken. Android-Partner werden mindestens einen Monat vor der Veröffentlichung über alle Probleme informiert, sodass Gerätehersteller ausreichend Zeit haben, Updates zu entwickeln und zu testen.

Updates der Hersteller

Die Geschwindigkeit, mit der Sicherheitsupdates auf Android-Geräten ankommen, variiert je nach Hersteller stark. Während Google-eigene Pixel-Geräte in der Regel am Tag der Veröffentlichung aktualisiert werden, können bei anderen Herstellern Tage bis Wochen vergehen. Samsung hat in den letzten Jahren seine Update-Politik deutlich verbessert und liefert Sicherheitspatches oft innerhalb weniger Tage aus.

Andere Hersteller wie Xiaomi, Oppo oder Vivo benötigen häufig länger, um die Updates einzuarbeiten. Bei älteren Geräten oder Modellen im Niedrigpreissegment kann es vorkommen, dass Updates mit erheblicher Verzögerung oder gar nicht mehr bereitgestellt werden. Das BSI empfiehlt daher, beim Kauf eines Smartphones auf die Update-Garantie des Herstellers zu achten.

Habt ihr das Update bereits installiert? Wie sind eure Erfahrungen mit der Geschwindigkeit von Sicherheitsupdates bei eurem Smartphone-Hersteller? Teilt eure Eindrücke gerne in den Kommentaren!


Siehe auch: