Das aktuelle Android-Sicherheitsupdate fällt knapp aus: Behoben werden nur zwei Schwachstellen. Die erste, geführt unter CVE-2026-0049, steckt in der Framework-Komponente und gilt als kritisch. Sie lässt sich von einem lokalen Angreifer ohne zusätzliche Ausführungsrechte und ohne Interaktion des Nutzers ausnutzen, um einen Denial-of-Service-Zustand auszulösen.

Die zweite Schwachstelle betrifft StrongBox – Androids hardwaregestützten Schlüsselspeicher, der kryptografische Schlüssel besonders stark absichern soll. StrongBox verwahrt und verwaltet die Schlüssel in einem dedizierten Secure Element (SE), einem separaten, manipulationssicheren Hardwarechip mit eigenem Prozessor, isoliertem Speicher und einem hardwarebasierten Zufallszahlengenerator. Der Chip ist gegen physische Angriffe und Seitenkanalangriffe abgeschirmt.

Die StrongBox-Lücke wird unter CVE-2025-48651 geführt und als „hoch" eingestuft. Wofür sie sich ausnutzen lässt, ist allerdings unklar. Allgemein können StrongBox-Schwachstellen das Auslesen von Schlüsseln, eine Rechteausweitung oder das Auslösen eines DoS-Zustands ermöglichen.

Laut dem Android-Sicherheitsbulletin betrifft CVE-2025-48651 StrongBox-Implementierungen von Google, NXP, STMicroelectronics und Thales. Technische Details dürften erst zu einem späteren Zeitpunkt verfügbar werden.

Keine der beiden Schwachstellen wurde den Angaben zufolge bislang aktiv ausgenutzt.