Android: Die vierte behobene Zero-Day-Schwachstelle in sechs Monaten

Eine Zero-Day-Schwachstelle im Herzen des Android-Frameworks

Unter den 124 behobenen Schwachstellen sticht eine hervor, da sie zum Zeitpunkt des Patches bereits ausgenutzt wurde. Unter der Kennung CVE-2025-48595 geführt, befindet sie sich im Android-Framework, der Schicht von Systemdiensten, mit der Anwendungen direkt interagieren. Mit einem CVSS-Wert von 8.4 bewertet, beruht sie auf einem Integer-Überlauf, der es einem lokalen Angreifer ermöglicht, seine Rechte bis auf Systemebene auszuweiten – ganz ohne Zutun des Nutzers. Betroffen sind Android 14, 15, 16 und 16 QPR2, also die große Mehrheit der im Umlauf befindlichen Geräte.

Eine Schwachstelle zur Rechteausweitung verschafft allein noch keinen Zugriff auf ein Gerät, sie ist ein Glied in einer Angriffskette. Ein Angreifer benötigt zunächst einen Einstiegspunkt, oft eine bösartige App oder eine weitere Schwachstelle im Browser oder in der Messaging-App. Die Lücke erlaubt es ihm dann, die Beschränkungen der Anwendung zu durchbrechen und Systemrechte zu erlangen. Von dort aus wird der Rest des Geräts zugänglich.

Die Kritikalität dieser Schwachstelle wurde über Google hinaus bestätigt. Bereits am 2. Juni hatte die US-Behörde CISA die Lücke in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen und den Bundesbehörden eine Frist von nur drei Tagen zur Behebung gesetzt.

Vier Zero-Day-Schwachstellen in sechs Monaten

Der Fall vom Juni ist kein Einzelfall. Bereits im September 2025 wurden zwei Android-Zero-Days zum Zeitpunkt des Patches bereits ausgenutzt. Seitdem lässt das Tempo nicht nach. Zwei weitere ausgenutzte Schwachstellen im Dezember 2025, eine im März 2026 in der Grafikkomponente der Qualcomm-Chips, dann die vom Juni. Macht vier aktiv ausgenutzte Android-Zero-Days, die in sechs Monaten behoben wurden.

Und der Trend beschränkt sich nicht auf Android. In seinem Bericht für 2025 zählte die Google Threat Intelligence Group 15 in freier Wildbahn ausgenutzte mobile Zero-Days, über alle mobilen Geräte hinweg, gegenüber 9 im Jahr 2024. Die Ausnutzung mobiler Schwachstellen vor Verfügbarkeit eines Patches hat sich als dauerhafter Bestandteil der Bedrohungslandschaft etabliert, nicht als punktuelle Warnung.

Mobile Geräteflotten von Unternehmen in der ersten Reihe

Sobald ein Gerät durch eine solche Schwachstelle kompromittiert ist, fällt alles, was es enthält, in die Hände des Angreifers. Auf einem dienstlichen Smartphone bedeutet das die E-Mail-Postfächer, die Geschäftsanwendungen und die sensiblen Dokumente des Unternehmens. Die Kompromittierung eines einzigen Geräts, insbesondere das einer Führungskraft oder eines exponierten Mitarbeiters, öffnet eine direkte Tür zu den Daten der Organisation.

Zwei Faktoren verschärfen die Lage. Zunächst die Fragmentierung von Android: Außerhalb der Pixel-Geräte braucht das monatliche Bulletin oft mehrere Wochen, um die Geräte zu erreichen, manchmal länger. Das Zeitfenster, in dem die Schwachstelle öffentlich, aber nicht behoben ist, bleibt daher über einen großen Teil der Flotte hinweg offen. Hinzu kommt BYOD, bei dem zahlreiche Mitarbeiter von ihrem privaten Smartphone aus arbeiten, ohne Gewähr für Updates.

Insbesondere im März 2026 betrug die Zeitspanne zwischen der Meldung der Qualcomm-Zero-Day und der Veröffentlichung ihres Patches zweieinhalb Monate, während die Schwachstelle bereits ausgenutzt wurde.

Das Update allein reicht nicht mehr

Die Installation des Juni-Patches ist unerlässlich, reicht aber nicht immer aus, um Unternehmensdaten auf Mobilgeräten zu schützen. Angesichts dieser Bereitstellungsverzögerungen und der Zero-Days, die schon vor der Veröffentlichung eines Patches ausgenutzt werden, kann das Warten auf das Update nicht die einzige Verteidigungslinie bleiben.

Pradeo Mobile Threat Defense erkennt und neutralisiert Ausnutzungsversuche in Echtzeit, über alle Vektoren hinweg, sei es das Betriebssystem, die Anwendungen oder das Netzwerk. Die Lösung schützt die Nutzer und ihre Geräte, auch jene, die nicht auf dem aktuellen Stand sind oder nie einen Patch erhalten werden, und verschafft den Sicherheitsteams zugleich einen Überblick über den Zustand jedes Geräts. Die Unternehmensdaten bleiben so abgesichert, auch in BYOD-Umgebungen.