Android im Lockdown – CalyxOS-Update-Stopp lässt Nutzer im Sicherheits-Vakuum zurück

CalyxOS-Update-Stopp: Privacy-Android stoppt Patches – Nutzer im Sicherheits-Vakuum

08.08.2025 von Antonia Frank Lesezeit: 4 Min.

CalyxOS-Update-Stopp: Privacy-Android legt Sicherheitsupdates für bis zu sechs Monate auf Eis nach Abgang zweier Schlüsselfiguren.

Das CalyxOS-Team hat offiziell einen Update-Stopp angekündigt. In den kommenden vier bis sechs Monaten liefern sie keine Updates mehr aus, weder Bugfixes noch Sicherheitspatches. Auslöser dafür ist der Abgang von Nicholas Merrill, Gründer und Präsident des Calyx Institute, sowie Chirayu Desai, dem technischen Leiter. Mit dem Verlust dieser beiden Schlüsselfiguren verliert das Projekt nicht nur Know-how, sondern auch die Kontrolle über zentrale Sicherheitsprozesse. Gemeint ist insbesondere die Verwaltung der Signaturschlüssel, die für Integrität und Vertrauenswürdigkeit des Systems entscheidend sind.

In einem offiziellen Blogpost erklärte das verbliebene Team, man müsse sich „neu aufstellen“ und die „technische Infrastruktur modernisieren, um das angestrebte Sicherheitsniveau zu erreichen“. Chirayu Desai schrieb zu seinem Abschied in einem Reddit-Post mit dem Titel „A Personal Note“:

„Android verändert sich und daher dachte ich, dass ich auch einige Änderungen vornehmen sollte.“

CalyxOS: Sicherheitslücken statt Patches

In der Übergangszeit will CalyxOS neue Signaturschlüssel einführen und den gesamten Signierungs- und Verifizierungsprozess neu aufsetzen. Bis dahin erhalten Nutzer keine Sicherheitsupdates, weder vom Android Open Source Project noch von den Geräteherstellern.

Das Team empfiehlt selbst, vorübergehend zu einer anderen Android-Distribution zu wechseln, etwa zu GrapheneOS oder LineageOS, um den Schutz vor aktuellen Bedrohungen zu gewährleisten. Wer dennoch bleiben möchte, muss nach der Pause eine komplette Neuinstallation durchführen, um wieder Updates zu erhalten. Für alle, die migrieren wollen, hat man aktualisierte Seedvault-Anleitungen veröffentlicht, inklusive Schritten zur Wiederherstellung des Werkszustands.

Digital abgeriegelt – CalyxOS-Update-Stopp setzt Android-Nutzer hinter Absperrband

Vorsichtsmaßnahmen & Community-Einfluss

In einer Aktualisierung vom 5. August 2025 versicherte das CalyxOS-Team, dass es keine Hinweise auf eine Kompromittierung der Signaturschlüssel gibt. Die laufende Schlüsselrotation und das geplante Sicherheits-Audit seien reine Vorsichtsmaßnahmen nach dem Führungswechsel.

Neu ist, dass das Audit diesmal das gesamte Projekt umfassen soll und nicht nur einzelne Komponenten wie das Seedvault-Backup-Tool. Die Ergebnisse will das Team nach Abschluss öffentlich zugänglich machen.

Aufgrund zahlreicher Anfragen aus der Community wurden die CalyxOS-Images wieder veröffentlicht. Das Team betont jedoch, dass dies keine Empfehlung zur Nutzung in der aktuellen Phase ist, da bis zur Implementierung neuer Sicherheitsprotokolle weiterhin der Update-Stopp gilt. Ursprünglich wollte man bis zum Abschluss der Umstrukturierung keine CalyxOS-Downloads für Neueinsteiger mehr anbieten.

🌞 Surfen und Herunterladen ohne Risiko und ohne Qubic Mining!

Das beste No-Logs-VPN mit 27 Monaten Datenschutz.
Jetzt für nur 2,59 €/netto mtl. – anonym, sicher & ohne Unterbrechung surfen, via P2P downloaden und vieles mehr. Inklusive 3 Monate umsonst!

🌞 Jetzt Sonderangebot sichern!*

Preisgarantie: Gleicher Preis & Laufzeit bei jeder Verlängerung.

* Affiliate-Link – du unterstützt unsere Arbeit, der Preis bleibt für dich gleich.

Offene Wunde im Open-Source-Kosmos

Der CalyxOS-Update-Stopp zeigt erneut als zentrales Problem vieler Open-Source-Projekte die Abhängigkeit von wenigen Schlüsselpersonen. Fällt ihr Engagement weg, gerät die Weiterentwicklung ins Stocken – mit direkten Auswirkungen auf Sicherheit und Vertrauen. Für ein Projekt, das sich Privatsphäre und Schutz auf die Fahnen geschrieben hat, ist diese monatelange Sicherheitslücke besonders heikel.

Fazit: Datenschutz ohne Updates ist wertlos

Der CalyxOS-Update-Stopp erweist sich als ein herber Rückschlag für die Privacy-Community. Auch wenn es aktuell keine Hinweise auf kompromittierte Schlüssel gibt, bleibt die Situation riskant. Denn ohne Patches ist kein sicheres Android möglich. Wer seine Geräte wirklich schützen will, sollte jetzt handeln und auf ein aktives, gut besetztes Projekt umsteigen. Andernfalls wird aus „Google-frei“ schnell „schutzlos“.

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.

Sichere Messenger statt WhatsApp, Eine Zeitung, die mit WhatsApp auf dem Boden liegt.

Sichere Messenger statt WhatsApp: Threemas Argumente überzeugen niemanden!

Sichere Messenger statt WhatsApp sind gut und schön. Das Problem: Wie kann man Freunde und Familie dafür begeistern, die App zu wechseln?

DNS over HTTPS unter Windows mit Vorhängeschloss-Symbol: Die sichere DNS-Verschlüsselung wird hier visuell dargestellt.

DNS over HTTPS Windows: So geht’s ganz einfach

Unser DoH Windows-Guide: Endlich mehr Privatsphäre ohne VPN – Schritt für Schritt und in nur wenigen Minuten erklärt und ausgeführt.

Ray-Ban Meta Glasses: Dauerüberwachung im Sonnenbrillengehäuse

Datenschutz bei den Ray-Ban Meta Smart Glasses? Seit Freischaltung der KI-Funktionen betrachten viele Beobachter die Entwicklung kritisch!

Ein Notebook, ein Handy und das pCloud-Symbol mit dem Schloss.

pCloud: Sicherer europäischer Cloud-Speicher mit Lifetime-Plan

Europäischer Cloud-Speicher mit Datenschutz aus der Schweiz: Bei pCloud sichern Sie Ihre Daten DSGVO-konform und sicher verschlüsselt.

Digitale Aufrüstung: Der Bundespolizei sollen laut neuem Gesetz weitreichende Überwachungswerkzeuge wie Staatstrojaner, Drohnen und stille SMS zur Verfügung stehen.

Bundes-Trojaner Reloaded: Dobrindt will Bundespolizei zum Hackerstaat machen

Bundes-Trojaner Reloaded: Dobrindt will die Bundespolizei zu Hackern machen. Der neue Entwurf erlaubt Überwachung ohne Verdacht.

Jeff Bezos sitzt auf einem Thron bestehend aus Amazon-Kartons. Im Hintergrund ein Firmengebäude.

Amazon kauft KI-Armband Bee: Geräte zeichnen alles auf, was wir sagen!

Amazon kauft das KI-Armband Bee, ein junges Startup aus Kalifornien. Vor allem der Sprachassistent Alexa soll wohl davon profitieren.

Laptop mit geöffneter Benutzeroberfläche. Auf dem Bildschirm ist die visuelle Darstellung eines Datenlecks bei Google zu sehen, inklusive Warnsymbol (rotes Schloss) und Hinweis auf einen Angriff der Hackergruppe ShinyHunters.

Datenpanne bei Google: ShinyHunters hat zugeschlagen

Google-Leak aufgedeckt: ShinyHunters dringt mit Social Engineering und OAuth-Missbrauch in Salesforce-Daten für KMUs ein.

VPN Schweiz ohne Logfiles: Warum Swisscows VPN die richtige Wahl ist

Ein VPN Schweiz ohne Logfiles? Dann Swisscows - es geht auch ohne Logfiles. Wir erklären, warum sich für euch ein ausführlicher Blick lohnt.

Meta AI deaktivieren – Geht das überhaupt?

Kann man die Meta AI endgültig deaktivieren? Viele vertrauen dem Versprechen nicht, dass man die Chats nicht zu Trainingszwecken missbraucht.

Es handelt sich um eine digitale Illustration, die den Brave-Browser zeigt. Zentral auf einem Laptop-Bildschirm steht das orangefarbene Brave-Löwenlogo. Links daneben ist ein Schloss als Symbol für Sicherheit zu sehen, rechts ein Blitz, der für Geschwindigkeit und Performance steht. Das gesamte Bild ist in blauen und violetten Farbtönen gehalten.

Brave Browser-Tipps: Den Chrome-basierten Browser optimal nutzen

So optimierst du den auf Chrome basierenden Brave Browser für maximale Sicherheit und Komfort. Praxistipps ohne Technik-Kenntnisse!

A popular internet meme character such as the "facepalm" meme, with a humorous vibe.

WeTransfer Nutzungsrechte: Datendienst wollte Zugriff auf alle Inhalte

WeTransfer plante weitreichende Nutzungsrechte an allen hochgeladenen Inhalten. Nach heftigen Protesten musste das Unternehmen zurückrudern.

Waidmannsheil! Ein Hase jagt seine Karotte, die er selbst transportiert. Praktisch, oder?

Werbung in Alexa+: Amazon möchte mit dem KI-Assistenten viel Geld verdienen

Werbung in Alexa+: Amazons KI-Assistent soll künftig bezahlte Dialoge mit personalisierter Werbung führen – in Europa wird das schwierig.

Hide.me VPN Angebot: günstig und anonym durch den Sommer surfen!

Das Hide.me VPN Angebot: Neue Kunden erhalten beim Abschluss des 24-Monats-Tarifs 3 Monate kostenlos! Das sind monatlich netto nur 2,59 EUR!

Urlauber am Strand mit Laptop und Smartphone – ein Symbol für den „Cyberurlaub“ und die digitale Sicherheit auf Reisen.

Cyberurlaub 2025: So schützt du dich vor digitalen Fallen im Urlaub

Cyberurlaub 2025: So schützt du deine Daten im Urlaub vor WLAN-Fallen, Phishing und Abzocke. Mit Checkliste und praktischen Tipps.

Meta KI-Chatbots, Smartphone mit META Symbol

Metas KI-Chatbots sollen uns ungefragt Nachrichten schicken

Meta trainiert seine KI-Chatbots, um die Aktivität der Nutzer ihrer Dienste zu steigern. Doch dafür muss man einige Informationen speichern.

Tutanota vs. ProtonMail – ein Anbietervergleich erhitzt die Gemüter

Der als Provider-Vergleich getarnte Werbeartikel Tutanota vs. ProtonMail verärgert Tutanota Mail. ProtonMail ist sich keiner Schuld bewusst.

Invidious.io ist ein alternatives Open-Source-Frontend für YouTube

YouTube geht gegen die Open-Source-Alternative invidious.io vor

YouTube hat nun auch dem beliebten und recht bekannten alternativen und werbefreien Open Source Frontend invidious.io den Kampf angesagt.

Cloud Speicher Lifetime Deal, Internxt auf einem Tablet-PC, Smartphone und PC-Monitor.

Cloud Speicher Lifetime Deal: Sichere dir diesen Online-Speicher, VPN und Virenschutz mit 87 % Rabatt!

Der Cloud Speicher Lifetime Deal von Internxt. Schütze deine Online-Privatsphäre und spare bares Geld bei nur einem Abo für alles Wichtige.