Googles Android-Update vom Juni behebt eine aktiv ausgenutzte Zero-Click-Privilege-Escalation-Schwachstelle

Das Android-Sicherheitsbulletin vom Juni 2026 von Google behebt CVE-2025-48595, eine kritische Zero-Click-Privilege-Escalation-Schwachstelle im Android Framework, die das Unternehmen bestätigt, in gezielten Angriffen ausgenutzt wird. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen, was einer offiziellen „sofort patchen“-Anweisung der föderalen Cybersicherheitsbehörden gleichkommt.

Zero-Click bedeutet, dass keine Benutzerinteraktion erforderlich ist. Ein Angreifer muss das Opfer nicht dazu verleiten, einen Link zu öffnen, eine App zu installieren oder eine Berechtigung zu erteilen. In Kombination mit Privilege Escalation – der Fähigkeit, auf Systemebene zugreifen zu können – gehört diese Schwachstellenklasse zu den gefährlichsten in der mobilen Sicherheit. Das praktische Ergebnis ist, dass ein gezieltes Gerät kompromittiert werden kann, ohne dass der Besitzer eine Aktion ausführt, die auf einen Angriff hindeuten würde.

Was ist betroffen

CVE-2025-48595 betrifft Geräte mit Android 14, 15, 16 und 16 QPR2. Das Sicherheitsbulletin vom Juni 2026, veröffentlicht am 1. Juni und aktualisiert am 3. Juni, adressiert insgesamt 124 Schwachstellen in den Framework-, System- und Kernel-Komponenten von Android. Der Sicherheitspatch-Level 2026-06-05 oder höher behebt alle in diesem Bulletin gemeldeten Probleme.

Benutzer können ihren Patch-Level überprüfen, indem sie zu Einstellungen → Über das Telefon → Android-Version → Sicherheitspatch-Level gehen. Auf Geräten, die monatliche Android-Sicherheitsupdates direkt von Google erhalten – Pixel-Telefone und einige Samsung Galaxy-Flaggschiffe – wird das Update jetzt ausgerollt. Geräte anderer Hersteller können je nach Update-Zeitplänen ihres Betreibers und OEM mehrere Wochen länger brauchen.

Was die CISA-KEV-Listung bedeutet

Der Katalog bekannter ausgenutzter Schwachstellen (KEV) der CISA ist eine verbindliche Behebungsliste für US-Bundesbehörden mit verbindlichen Fristen zum Patchen. Wenn die CISA eine Schwachstelle in den KEV-Katalog aufnimmt, bedeutet dies, dass die Behörde eine tatsächliche Ausnutzung in der realen Welt bestätigt hat – kein theoretisches Risiko – mit einem ausreichend hohen Vertrauensniveau, um föderale Patch-Fristen durchzusetzen.

Für zivile Organisationen ist die CISA-KEV-Listung effektiv eine hochprioritäre Empfehlung: Diese Schwachstelle wird aktiv bewaffnet. Googles eigene Offenlegungssprache – „begrenzte, gezielte Ausnutzung“ – deutet darauf hin, dass es sich noch nicht um eine Massenexploit-Kampagne handelt, sondern eher um Angriffe, die wahrscheinlich mit kommerziellen Spyware-Betreibern oder staatlichen Akteuren in Verbindung stehen, die routinemäßig Zero-Click-Mobil-Exploits für gezielte Überwachung erwerben oder entdecken.

Kein Workaround: Update ist die einzige Lösung

Es gibt keine Konfigurationsänderung oder benutzerseitige Abschwächung, die diese Schwachstelle schließt. Die Android-Framework-Komponente, in der der Fehler liegt, kann nicht isoliert oder deaktiviert werden, ohne die Kernsystemfunktionalität zu beeinträchtigen. Der einzige Schutz ist die Anwendung des Sicherheitspatches vom Juni 2026.

Benutzer, die nicht sofort aktualisieren können – weil ihr Gerätehersteller den Patch noch nicht ausgeliefert hat – sollten sich bewusst sein, dass es sich hier um ein aktives Ausnutzungsszenario handelt, nicht um ein theoretisches zukünftiges Risiko. Personen, die Überwachungsziele von hohem Wert sind (Journalisten, Führungskräfte, Aktivisten, Regierungsbeamte), sind dem größten Risiko durch diese Klasse gezielter Zero-Click-Exploits ausgesetzt, da diese Angriffe in der Regel teuer zu deployen sind und eher gezielt als unterschiedslos erfolgen.

Das Juni-Bulletin behebt auch CVE-2026-28577, eine Privilege-Escalation-Schwachstelle via Tapjacking, sowie mehrere andere schwerwiegende Probleme in den Kernel- und Medienkomponenten. Jedes Android-Gerät, das den Juni-2026-Patch erhalten kann, sollte dies tun, sobald er vom Hersteller verfügbar ist.