CVE-2025-48593: Звіт SOC про критичну вразливість без кліка в Android

Аналіз

Критична вразливість без взаємодії з користувачем, відома як CVE-2025-48593, була виявлена у системному компоненті Android версій з 13 по 16. Ця вразливість дозволяє віддаленому зловмиснику виконувати довільний код на пристрої без будь-якої взаємодії з користувачем або додаткових привілеїв, що робить її надзвичайно небезпечною. Патч, який вирішує цю проблему, включено в оновлення безпеки з рівнем патчу 2025-11-01.

Розслідування

Основною причиною CVE-2025-48593 визначено недостатню перевірку вхідних даних у системному компоненті, що дозволяє виконання довільного коду на вразливих пристроях з використанням шкідливо розроблених даних. Оскільки вразливість є без взаємодії, не потрібно жодної дії—такої як відкриття посилання або встановлення програми—з боку користувача, що робить вектор атаки значно ширшим, ніж у типових інтерактивних атаках. Хоча публічні технічні деталі залишаються обмеженими (імовірно через ембарго та практики відповідального розкриття), обговорення вказує на сценарій використання після звільнення або пошкодження пам’яті у системному обробці пакетів або послуг.

Пом’якшення

Для зменшення ризику від CVE-2025-48593 користувачі та адміністратори повинні негайно перевірити, що на пристроях застосовано рівень безпеки патча 2025-11-01 або пізніший, через Налаштування → Захист → “Рівень безпеки патча”. Окрім патчів, організації повинні посилити контроль управління мобільними пристроями (MDM): вимикати встановлення програм із зовнішніх джерел, обмежувати доступ USB/ADB, запроваджувати відповідність патчів на пристроях та моніторити аномалії в системній поведінці, такі як неочікуваний мережевий трафік з мобільних кінцевих точок. Користувачі повинні також переконатися, що вбудований захист, такий як Google Play Protect, активний, та уникати підключення до ненадійних мереж чи запуску додатків із неперевірених джерел.

Відповідь

У відповідь на цю вразливість виробники пристроїв та OEM повинні якнайшвидше розгорнути патч 2025-11-01 (або еквівалентне оновлення від постачальника) та чітко повідомити користувачів про терміновість встановлення оновлення. Організації повинні ставитися до мобільних кінцевих точок як до цілей високої цінності: переглянути плани реагування на інциденти на випадок компроментації мобільних пристроїв, проводити судовий аналіз на наявність ознак виконання віддаленого коду та ізолювати або відмовитися від пристроїв, які не можуть бути оновлені на час. З боку користувачів, особи повинні встановлювати системні оновлення щойно вони стають доступними та уникати використання пристроїв, для яких OEM більше не надає патчів безпеки. Невиконання цього залишає пристрій вразливим до безмовної віддаленої компрометації.