Wenn Angreifer Opfern unter Android eine bestimmte präparierte Sounddatei unterschieben, kann es zu Fehlern und Abstürzen kommen. Schon der Empfang einer solchen Datei kann zu Problemen führen, weil Android Audio-Nachrichten zur Transkription lokal dekodiert und damit eine Zero-Click-Attacke möglich ist. Diese Lücke ist schon seit Oktober vergangenen Jahres bekannt und wurde unter anderem bereits in Windows geschlossen. Nun gibt es das Sicherheitsupdate auch für Android-Geräte.

Lücke unter Android kritisch?

Die Schwachstelle (CVE-2025-54957 „mittel“) betrifft die Verarbeitung von Dolby-Digital-Plus-Bitstreams. Manipulieren Angreifer solche Sounddateien, kommt es zu einem Speicherfehler, was zu Abstürzen führt. Oft kann in so einem Kontext auch Schadcode auf Systeme gelangen. Ob das in diesem Fall auch klappt, ist bislang unklar. Es gibt noch keine Berichte, dass Angreifer die Lücke bereits ausnutzen.

Die Schwachstelle haben Sicherheitsforscher von Googles Project Zero entdeckt. Seitdem gibt es auch Sicherheitsupdates für Windows und andere. Weil Android Audio-Nachrichten zur Transkription lokal dekodiert, kann es zu einer Zero-Click-Attacke kommen. Das bedeutet, dass der alleinige Empfang einer präparierten Audiodatei ohne Zutun eines Opfers Schaden anrichten kann. Das ist offensichtlich auch der Grund, warum die Android-Entwickler die Lücke in einer Warnmeldung als „kritisch“ einstufen.

Wer ein noch im Support befindliches Android-Gerät besitzt, sollte sicherstellen, dass das aktuelle Patch-Level 2026-01-05 installiert ist. Das kann man in den Einstellungen prüfen. Neben Google stellt unter anderem auch Samsung (siehe Kasten) monatlich Sicherheitsupdates für ausgewählte Geräte zum Download bereit.

Update 07.01.2026, 09:31 Uhr

Seit Juli 2025 schließt Google monatlich nur noch besonders bedrohliche Sicherheitslücken. Die verbleibenden Patches werden quartalsweise bereitgestellt.

(des)