Google hat den Android-Sicherheitsbulletin für September 2025 veröffentlicht und dabei 120 Sicherheitslücken in System und Ökosystem-Komponenten behoben. Mindestens zwei 0‑Days – CVE-2025-38352 (Privilege Escalation im Linux-Kernel) und CVE-2025-48543 (Privilege Escalation in Android Runtime) – werden laut Google bereits in gezielten, begrenzten Angriffen ohne Nutzerinteraktion ausgenutzt.
0‑Days und kritische Schwachstellen: was genau behoben wurde
CVE-2025-38352 betrifft den Linux-Kernel und beschreibt ein Race Condition-Problem in den POSIX-CPU-Timern. Folge sind fehlerhafte Task-Bereinigungen, Kernel-Instabilitäten und potenzielle Rechteausweitung bis hin zum Denial of Service. Die Lücke wurde am 22. Juli 2025 identifiziert und in Kernel-Zweigen ab 6.12.35-1 gefixt.
CVE-2025-48543 liegt in Android Runtime (ART). Der Fehler kann das Sandbox-Modell unterlaufen und Angreifern erweiterten Zugriff auf höher privilegierte Systemfunktionen eröffnen – ein besonders relevantes Szenario bei der Installation manipulierter Apps.
Remote Code Execution ohne Klicks: CVE‑2025‑48539
Herausragend im September-Bulletin ist CVE-2025-48539, eine RCE in einem Android-Systemkomponentenpfad. Angreifer in unmittelbarer Nähe (z. B. via Wi‑Fi oder Bluetooth) können ohne Nutzerinteraktion und ohne vorherige Privilegien beliebigen Code ausführen. Solche Zero-Click-Vektoren sind kritisch, da sie wurmähnliche Ausbreitung in lokalen Netzen begünstigen.
Qualcomm-Komponenten: GPS, Netzwerkketten und Call-Prozessor
Unter den proprietären Fixes für Qualcomm stechen CVE-2025-21450 (GPS-Subsystem), CVE-2025-21483 (Netzwerk-Stacks) und CVE-2025-27034 (Multi-Mode-Call-Prozessor) heraus. Auswirkungen reichen von Ortungsfehlern über Traffic-Manipulation bis hin zu Telefonieinstabilitäten – mit Risiken für Verfügbarkeit, Vertraulichkeit und unautorisierten Datenzugriff in Modem-Nähe.
Patchlevel richtig lesen: 2025‑09‑01 vs. 2025‑09‑05
Google veröffentlicht traditionell zwei Patchlevel: 2025‑09‑01 bündelt Fixes für generische Android-Komponenten, während 2025‑09‑05 zusätzlich Treiber- und proprietäre Updates (u. a. für Qualcomm) enthält. OEMs können so schneller Teilupdates ausrollen, bevor alle Lieferanten-Fixes integriert sind. Nutzer und Unternehmen sollten, sofern verfügbar, den höheren Patchlevel 2025‑09‑05 anstreben.
Risikobewertung für Unternehmen und Privatanwender
Da mehrere Schwachstellen 0‑Click-Ausnutzung über Bluetooth/Wi‑Fi ermöglichen, steigt das Risiko für Geräte in öffentlichen oder hochdichten Funkumgebungen. In Unternehmensumgebungen können RCE und Privilege Escalation zu Kompromittierungen von EMM/MDM-Profilen, Datenabfluss sowie lateraler Bewegung in internen Netzen führen.
Empfehlungen: Maßnahmen sofort priorisieren
Jetzt handeln: Updates prüfen und den September-Patch bis 2025‑09‑05 installieren, sobald der OEM ihn bereitstellt. Bis dahin Sichtbarkeit und Angriffsfläche reduzieren: unnötige Funkmodule deaktivieren, Bluetooth- und WLAN-Discoverability einschränken.
Nur Apps aus vertrauenswürdigen Quellen installieren, Berechtigungen restriktiv handhaben und Google Play Protect aktivieren. In Unternehmen: MDM/EMM-Policies nutzen, Sideloading blockieren, zeitnahe erzwungene Patch-Rollouts durchführen. System- und Kernel-Logs auf Crash-Spikes, Watchdog-Resets und Anomalien in Systemdiensten monitoren – das sind potenzielle Exploitation-Indikatoren.
Der September-Bulletin bestätigt: Mobile Plattformen bleiben Kernziel für Zero‑Day-Angriffe. Sicherheitsgewinne entstehen durch schnelle Patch-Übernahme, konsequente Angriffsflächenreduktion und disziplinierte App-Governance. Für belastbare Orientierung empfiehlt sich das fortlaufende Monitoring offizieller Quellen wie dem Android Security Bulletin und den Qualcomm Product Security Bulletins, um Fixes zeitnah zu bewerten und einzuspielen.
