RCE атака без кликване: Google потвърди критична уязвимост, даваща пълен достъп до Android телефоните
Хакерите могат да обхванат в Android телефона, до момента в който просто прелиствате лентата с вести.
Гугъл издаде незабавно предизвестие за сериозна накърнимост в Android, която разрешава на атакуващите да извършват случаен код на устройство без каквото и да било присъединяване от страна на потребителя. Уязвимостта Zero Click е открита в систематичните съставни елементи на операционната система и е разказана в бюлетина за сигурност на Android от ноември 2025 година
Уязвимостта е получила идентификатор CVE-2025-48593 и е приета за една от най-опасните уязвимости напоследък. Тя визира голям брой версии на Android Open Source Project (AOSP) – от версия 13 до 16 – и може да бъде употребена за отдалечено осъществяване на код (RCE – remote code execution), без да изисква спомагателни позволения или дейности от притежателя на устройството.
Гугъл пресметна, че нападателите могат да се възползват от грешката посредством изпращане на особено основани мрежови пакети или разпространяване на злонамерени приложения посредством магазини на трети страни и странични съоръжения. Успешната офанзива отваря цялостен достъп до устройството, в това число опция за кражба на данни, инсталиране на програмен продукт за откуп или преобразяване на смарт телефона в детайл на ботнет. Проблемът е регистриран вътрешно под идентификационен номер на неточност в Android A-374746961 и към този момент е отхвърлен в най-новите компилации на AOSP.
Причината за уязвимостта е обвързвана с неправилна обработка на систематичните процеси, което разрешава инжектирането на случаен код по време на естествените интервенции – да вземем за пример при пускане на приложения или синхронизиране на данните във фонов режим. Изследователите означават, че тази неточност припомня на предходни случаи на разваляне на паметта, употребявани за увеличение превилегиите на устройството.
Освен това в бюлетина е посочен още един бъг – CVE-2025-48581. Той е систематизиран като високорискова накърнимост с повишение на привилегиите (EoP) и също участва в систематичния съставен елемент. За разлика от RCE, тя изисква прелиминарен достъп до системата, с цел да бъде употребена, само че разрешава на приложението да получи неоторизиран надзор върху чувствителни функционалности на устройството.
Устройствата с Android 10 и по-новите версии ще могат да получат актуализацията за сигурност, само че притежателите на по-стари модели рискуват да останат незащитени, в случай че производителите забавят стартирането на пачове. Гугъл предлага на всички консуматори да ревизират за актуализации допустимо най-скоро посредством Настройки – Система – Актуализация на системата и да зададат равнище на сигурност 2025-11-01, което изцяло отстранява тези неточности.
Корпорацията акцентира, че до момента не са регистрирани дейни експлойти, само че естеството на уязвимостта я прави изключително рискова за държавни и обществени фигури, които постоянно са обект на целенасочени офанзиви. Фрагментацията на Android към момента е един от основните проблеми на екосистемата и по тази причина навременната реакция на производителите е от решаващо значение за отбраната на потребителите. Експертите поучават да се задействат автоматизираните актуализации и да се заобикаля инсталирането на приложения от непроверени източници – това остава най-надеждният метод за минимизиране на рисковете на фона на повишаването на мобилните закани.
