Android-Gefahr: Zero-Click-Angriff über Dolby-Audio entdeckt
Google entdeckt kritische Dolby-Schwachstelle für Android-Geräte, die ohne Nutzerinteraktion ausgenutzt werden kann. Gleichzeitig offenbart eine Studie massive Sicherheitsmängel bei Gesundheits-Apps mit ungeschützten Patientendaten.
Google-Forscher haben eine kritische Sicherheitslücke in Dolby-Audio-Software aufgedeckt, die Millionen Android-Nutzer gefährdet. Der Angriff funktioniert völlig ohne Nutzer-Interaktion – bereits das Empfangen einer präparierten Audiodatei über Messenger reicht aus.
Zeitgleich offenbart eine neue Studie erschreckende Sicherheitsmängel bei Gesundheits-Apps: Fast die Hälfte aller untersuchten Anwendungen nutzt veraltete Verschlüsselung oder überträgt sensible Daten völlig ungeschützt. Was bedeutet diese explosive Kombination für die Smartphone-Sicherheit?
Google enthüllt gefährliche Dolby-Schwachstelle
Das Elite-Team von Googles Project Zero hat eine Zero-Click-Schwachstelle in der Dolby Digital Plus Software entdeckt, die als CVE-2025-54957 katalogisiert wurde. Die Lücke steckt im Audio-Decoder und kann durch eine manipulierte Audiodatei ausgelöst werden.
Das Perfide: Nutzer müssen weder einen Link anklicken noch eine Datei herunterladen. Der Angriff erfolgt automatisch, sobald eine präparierte Audiodatei über Messenger-Apps wie RCS empfangen wird. Cyberkriminelle könnten so die komplette Kontrolle über das Gerät übernehmen, Daten stehlen oder Malware installieren.
Die Schwachstelle betrifft den Dolby Digital Plus Unified Decoder. Ein Ganzzahl-Überlauf bei der Längenberechnung führt zu einer zu kleinen Speicherpufferung. Angreifer können dadurch Daten außerhalb des vorgesehenen Speicherbereichs schreiben und schädlichen Code ausführen.
Anzeige: Übrigens: Zero-Click-Angriffe wie dieser zeigen, wie schnell Android-Geräte kompromittiert werden können. Viele Nutzer übersehen die 5 wichtigsten Schutzmaßnahmen – dabei lassen sie sich ohne teure Zusatz-Apps umsetzen. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie WhatsApp, Online-Banking und Ihre Fotos zuverlässig absichern und kritische Lücken schließen. Jetzt das kostenlose Android‑Sicherheitspaket sichern
Gesundheits-Apps: Datenschutz-Desaster mit System
Parallel zu dieser Bedrohung zeigt eine aktuelle Cybersicherheitsstudie erschreckende Mängel bei Android-Gesundheits-Apps auf. Fast die Hälfte der untersuchten Apps verwendet veraltete Verschlüsselung, viele übertragen GPS-Daten, Herzfrequenzen und Krankenakten völlig ungeschützt.
Der Grund ist oft ein Interessenkonflikt: Viele Apps finanzieren sich durch aggressive Datensammlung für Werbung und Verkauf an Drittanbieter. Datenschutz wird zur Nebensache.
Allein in der ersten Jahreshälfte 2025 waren bereits über 29 Millionen Menschen von Datenlecks im Gesundheitswesen betroffen. Besonders problematisch: Viele Gesundheits-Apps fallen nicht unter strenge Datenschutzgesetze wie HIPAA, da sie nicht von zertifizierten medizinischen Einrichtungen angeboten werden.
Perfekter Sturm für Cyberkriminelle
Die Kombination aus Zero-Click-Angriffen und schlecht geschützten Gesundheitsdaten schafft eine explosive Bedrohungslage. Während sich Nutzer bisher durch vorsichtiges Verhalten schützen konnten, machen Zero-Click-Angriffe traditionelle Sicherheitstipps obsolet.
Gelingt es Angreifern, ein Gerät zu kompromittieren, finden sie dort einen wahren Datenschatz: medizinische Diagnosen, Behandlungsdetails, Standortdaten und Biometriedaten – oft völlig ungeschützt gespeichert.
Sofortmaßnahmen und Ausblick
Android-Nutzer sollten umgehend alle verfügbaren Sicherheitsupdates installieren. Google und Gerätehersteller verteilen bereits Patches, doch die Fragmentierung des Android-Ökosystems bedeutet: Millionen Geräte bleiben noch monatelang verwundbar.
Für die Gesundheits-App-Branche zeichnet sich ein Wandel ab. Regulierungsbehörden wie die FTC kündigen schärfere Kontrollen ab 2025 an. Entwickler stehen unter wachsendem Druck, sichere Programmierung und starke Verschlüsselung zu implementieren.
Nutzer sollten App-Berechtigungen streng limitieren und von Entwicklern mehr Transparenz über den Umgang mit Gesundheitsdaten fordern. Denn eines wird klar: Die Verantwortung kann nicht allein beim Endnutzer liegen – die Industrie muss Sicherheit endlich zur Priorität machen.
