Android schließt gefährliche Zero‑Click‑Lücke: Dolby‑Decoder machte Geräte jahrelang angreifbar

VonJörn Schmidt
New Android Logo
Quelle: Google

Google hat Anfang Januar 2026 eine schwerwiegende Schwachstelle beseitigt, die Android‑Geräte ohne Zutun der Nutzer angreifbar machte. Die Sicherheitslücke mit der Kennung CVE‑2025‑54957 betraf den Dolby‑Digital‑Plus‑Decoder und ermöglichte Angreifern, Geräte allein durch das Zusenden manipulierter Audiodateien zu kompromittieren.

Der Fehler beruhte auf einem Speicherproblem im Decoder. Durch einen Integer‑Überlauf konnte eine präparierte, aber formal gültige DD+‑Audiodatei einen Schreibvorgang außerhalb des vorgesehenen Speicherbereichs auslösen. Dadurch ließ sich im schlimmsten Fall beliebiger Code ausführen.

Zwar existiert die betroffene Komponente auch auf anderen Betriebssystemen wie iOS, macOS, Windows und ChromeOS, doch Android war besonders exponiert. Das System verarbeitet eingehende Audioinhalte wie Sprachnachrichten oder Anhänge automatisch im Hintergrund, etwa für Transkriptionsfunktionen. Ein Angriff erforderte daher weder das Öffnen noch das Abspielen der Datei. Tests zeigten, dass bereits der Empfang einer schädlichen RCS‑Nachricht Abstürze und später Codeausführung auslösen konnte.

Während Dolby das Risiko im Herbst 2025 als moderat einstufte, bewerteten Sicherheitsforscher von Google Project Zero sowie Behörden wie das Centre for Cybersecurity Belgium die Lage deutlich ernster. Die belgische Behörde empfahl sogar, RCS vorübergehend zu deaktivieren, um das Risiko zu minimieren.

Andere Plattformen hatten die Schwachstelle bereits Ende 2025 geschlossen. Android zieht nun mit dem Sicherheitsupdate vom Januar 2026 nach. Nutzer von Geräten mit monatlichen oder vierteljährlichen Updates sollten das Patch schnellstmöglich installieren, um sich vor möglichen Zero‑Click‑Angriffen zu schützen. Pixel‑Modelle erhalten die Aktualisierung zuerst, gefolgt von Samsung und weiteren Herstellern.


Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 16

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert