Die Sicherheitslücken betreffen verschiedene Android-Versionen; Geräte mit Android 10 und höher erhalten möglicherweise Sicherheitsupdates sowie Google Play-Systemupdates. Die Updates werden über die Gerätehersteller verteilt, wobei Pixel-Geräte von Google in der Regel die Updates zuerst erhalten.  

Sicherheitslücken und Updates im Detail

Google hat im März 2025 zwei Sicherheitspatch-Level veröffentlicht: 2025-03-01 und 2025-03-05. Diese sollen Android-Partnern Flexibilität bieten und die Behebung ähnlicher Schwachstellen auf allen Android-Geräten beschleunigen. Die Updates beheben Sicherheitslücken in verschiedenen Systemkomponenten, darunter Framework, System und Kernel. Google hat zudem Source-Code-Patches für die Schwachstellen im Android Open Source Project Repository veröffentlicht.  

Insgesamt wurden 11 schwerwiegende und 10 kritische Sicherheitslücken im Android-System behoben, von denen die schwerwiegendsten zu einer Remotecodeausführung führen könnten. Darüber hinaus wurden neun schwerwiegende Sicherheitslücken im Android Framework behoben. Google fordert alle Android-Partner routinemäßig dazu auf, alle Probleme in seinen monatlichen Sicherheitsbulletins zu beheben und dem neuesten Sicherheitspatch-Level zu folgen.  

Besonders schwerwiegend sind zwei Sicherheitslücken, die bereits aktiv ausgenutzt wurden:

• CVE-2024-43093: Eine Sicherheitslücke im Framework mit einem CVSS-Score von 7.8, die es Angreifern ermöglicht, lokale Rechte auszuweiten. Dies könnte zu unbefugtem Zugriff auf Verzeichnisse wie „Android/data“, „Android/obb“ und „Android/sandbox“ führen. Google hatte diese Sicherheitslücke bereits im November 2024 als aktiv ausgenutzt gemeldet. Es ist wichtig zu beachten, dass diese Sicherheitslücke wieder aufgetreten ist, was die Notwendigkeit unterstreicht, stets die neuesten Sicherheitsupdates zu installieren.  
• CVE-2024-50302: Eine Sicherheitslücke in der HID-USB-Komponente des Linux-Kernels, die zu einem Leck von nicht initialisiertem Kernelspeicher führen kann. Diese Sicherheitslücke wurde von Cellebrite im Dezember 2024 als Teil eines Zero-Day-Exploits ausgenutzt, um in das Android-Telefon eines serbischen Jugendaktivisten einzudringen.  

Google räumt ein, dass beide Sicherheitslücken „begrenzt und gezielt“ ausgenutzt wurden.  

Neben den oben genannten Sicherheitslücken behebt das Update vom 05.03.2025 auch eine als „Popping Popcorn“ bezeichnete Sicherheitslücke. Die schwerwiegendste Sicherheitslücke in diesem Abschnitt kann zu einer lokalen Rechteausweitung im Kernel führen, ohne dass zusätzliche Ausführungsberechtigungen erforderlich sind. Das Update enthält außerdem Korrekturen für Sicherheitslücken in MediaTek- und Qualcomm-Komponenten.  

Betroffene Android-Versionen

Obwohl die genauen Android-Versionen, die von den Sicherheitslücken betroffen sind, nicht in allen Quellen spezifiziert sind, ist bekannt, dass Geräte mit Android 10 und höher möglicherweise Sicherheitsupdates und Google Play-Systemupdates erhalten . Da die Sicherheitslücken verschiedene Systemkomponenten betreffen, ist es wahrscheinlich, dass die meisten Android-Versionen betroffen sind.  

So aktualisieren Sie Ihr Android-Gerät

Um zu überprüfen, ob Ihr Gerät gefährdet ist, müssen Sie zunächst Ihre Android-Version und den Sicherheitspatch-Level überprüfen. Informationen dazu finden Sie unter „Android-Version prüfen und aktualisieren“ im Google Sicherheitsbulletin.  

Um Ihr Android-Gerät zu aktualisieren und die Sicherheitslücken zu schließen, gehen Sie folgendermaßen vor:  

1. Öffnen Sie die Einstellungen auf Ihrem Gerät.
2. Scrollen Sie nach unten und tippen Sie auf Software-Update oder System-Update.
3. Tippen Sie auf Herunterladen und installieren, Nach Systemupdates suchen oder Nach Software-Updates suchen.
4. Wenn ein Update verfügbar ist, sollte es automatisch heruntergeladen werden. Bei einigen Geräten müssen Sie möglicherweise auf Jetzt herunterladen klicken.
5. Befolgen Sie nach Abschluss des Downloads die Anweisungen auf dem Bildschirm, um das Update zu installieren.

Beachten Sie, dass Pixel-Geräte von Google in der Regel die Updates zuerst erhalten.  

Fazit

Die Sicherheitsupdates von Google vom März 2025 schließen kritische Sicherheitslücken in Android, die Angreifern die Ausführung von Schadcode und den Zugriff auf sensible Daten ermöglichen könnten. Einige dieser Schwachstellen wurden bereits aktiv ausgenutzt, was die Dringlichkeit der Installation der Updates unterstreicht. Die Updates beheben Sicherheitslücken in verschiedenen Systemkomponenten, darunter Framework, System und Kernel, und betreffen wahrscheinlich die meisten Android-Versionen.

Es ist daher dringend empfohlen, die Updates so schnell wie möglich zu installieren, um Ihr Gerät und Ihre Daten zu schützen. Da die Updates über die Gerätehersteller verteilt werden, kann es je nach Hersteller und Modell unterschiedlich lange dauern, bis die Updates verfügbar sind. Überprüfen Sie daher regelmäßig die Einstellungen Ihres Geräts auf verfügbare Updates. Um zukünftige Sicherheitsrisiken zu minimieren, ist es wichtig, Ihr Android-Gerät stets mit den neuesten Sicherheitsupdates auf dem Laufenden zu halten.