Spionage möglich: Google patcht teils aktiv ausgenutzte Android-Lücken
Google hat am Montag sein Android-Sicherheitsbulletin für den Monat April 2025(öffnet im neuen Fenster) veröffentlicht und damit Patches für insgesamt 62 Sicherheitslücken bereitgestellt. Mit CVE-2024-53150 und CVE-2024-53197 gibt es für zwei dieser Lücken bereits Hinweise auf eine gezielte Ausnutzung durch Angreifer. Anwender sollten in nächster Zeit Ausschau nach Android-Updates halten, um sich vor möglichen Angriffen zu schützen.
CVE-2024-53197(öffnet im neuen Fenster) wurde als Teil einer von der israelischen Forensik-Firma Cellebrite entwickelten Exploit-Kette bereits von serbischen Behörden eingesetzt , um das Smartphone eines studentischen Aktivisten auszuspionieren. Die Lücke hat ihren Ursprung im Linux-Kernel und basiert auf einem möglichen Out-of-bounds-Write ( CWE-787(öffnet im neuen Fenster) ) in einem USB-Audiotreiber.
CVE-2024-53150(öffnet im neuen Fenster) bezieht sich auf den gleichen Treiber, ermöglicht allerdings nur einen Out-of-bounds-Read ( CWE-125(öffnet im neuen Fenster) ). Im Gegensatz zum Out-of-bounds-Write lässt sich damit zwar kein Schadcode zur Ausführung bringen, dafür kann ein Angreifer aber geschützte Informationen aus dem Speicher auslesen, die ihm weitere Erkenntnisse zur Ausweitung seines Angriffs liefern.
Vier Lücken gelten als kritisch
Die beiden aktiv ausgenutzten Android-Sicherheitslücken erreichen jeweils einen CVSS-Wert von 7,8 und damit einen hohen Schweregrad. Von den übrigen 60 Lücken sind laut Google vier als kritisch eingestuft, alle anderen ebenfalls mit Schweregrad hoch. Einige der im Bulletin aufgelisteten Schwachstellen beziehen sich auch auf Komponenten von Drittanbietern wie Arm, Imagination Technologies, Mediatek und Qualcomm.
Eine kritische Sicherheitslücke in der Systemkomponente von Android hebt Google besonders hervor, ohne die zugehörige CVE-ID oder technische Details zu benennen. Dabei soll es sich um "das schwerwiegendste" aller im Bulletin genannten Probleme handeln. Angreifer können damit aus der Ferne und ohne jegliche Nutzerinteraktion ihre Rechte auf einem Zielgerät ausweiten. Den Angaben nach handelt es sich vermutlich um CVE-2025-26416.
Wie im Android-Ökosystem üblich, obliegt es nun den jeweiligen Geräteherstellern, die Patches möglichst schnell an die Endbenutzer weiterzureichen. Besonders schnell geht dies in der Regel bei Besitzern der Pixel-Geräte, die direkt von Google versorgt werden. Bei anderen Herstellern kann es aber auch mal länger dauern . Auf Android-Geräten, die bereits aus dem Support gefallen sind, bleiben die Sicherheitslücken sehr wahrscheinlich dauerhaft ungepatcht.