Androidissa kriittinen tietoturvahaavoittuvuus - paikkaaminen vaatii marraskuun tietoturvakorjauspaketin

[Juha Kokkonen]

Androidissa (versiot 13-16) on havaittu kriittinen tietoturvahaavoittuvuus (CVE-2025-48593), joka mahdollistaa ulkopuolisen koodin ajamisen ilman erityisoikeuksia tai käyttäjältä vaadittavaa toimintaa. Google on tiedottanut haavoittuvuuden olemassaolosta omassa marraskuisessa Security Bulletin -viestissään ja lisäksi laitevalmistajia on tiedotettu vähintään kuukausi etukäteen.

Haavoittuvuus on korjattu Androidin tietoturvakorjauspaketissa, joka on päivätty marraskuulle 2025 (2025-11-01). Haavoittuvuutta ei tiettävästi ole toistaiseksi hyödynnetty hyökkääjien toimesta. Jos päivitystä ei ole vielä asennettu puhelimeen, ainoa varma tapa estää sen mahdollinen hyödyntäminen on kytkeä WiFi- ja Bluetooth-yhteydet pois päältä. Useimpiin puhelimiin, mukaan lukien osa Googlen omista Pixel-malleista, päivitystä ei ole vielä saatavilla.

Lähteet:

Android Security Bulletin—November 2025 | Android Open Source Project

source.android.com

Android Hit by 0-Click RCE Vulnerability in Core System Component

Google has released an urgent security alert addressing a critical remote code execution vulnerability affecting Android devices worldwide.

gbhackers.com

GitHub - B1ack4sh/Blackash-CVE-2025-48593: CVE-2025-48593

CVE-2025-48593. Contribute to B1ack4sh/Blackash-CVE-2025-48593 development by creating an account on GitHub.

github.com

 

[LaDeX]

Eli joillain korjattu vasta ensi vuoden puolella ja jotkut jää pysyvästi haavoittuvaisiksi.

 

[Seppo77]

Eli joillain korjattu vasta ensi vuoden puolella ja jotkut jää pysyvästi haavoittuvaisiksi.

Todella suuri määrä luureja siis.

 

[LaDeX]

Todella suuri määrä luureja siis.

Ja tabletteja, televisioita jne.

 

[Sommite]

Bluetooth-haavoittuvuus siis kyseessä, HFP-kuulokeajurissa:

In bta_hf_client_cb_init of bta_hf_client_main.cc, there is a possible remote code execution due to a use after free. This could lead to remote code execution with no additional execution privileges needed. User interaction is not needed for exploitation.

Hyökkääjällä olisi siis laite, joka esiintyy HFP-kuulokkeena. Asiantuntija osaisi selvittää, missä olosuhteissa hyökkäystä voi käyttää.

OSV - Open Source Vulnerabilities

Comprehensive vulnerability database for your open source projects and dependencies.

osv.dev

 

[Admiral General Aladeen]

mahdollistaa ulkopuolisen koodin ajamisen ilman erityisoikeuksia tai käyttäjältä vaadittavaa toimintaa.

Eli käyttäjän ei tarvitse tehdä mitään muuta kuin pitää laite käynnissä, niin minkä tahansa verkkoprotokollan, kuten wifin tai bluetootin, läpi voi ottaa laitteen hallintaan. Missä vain julkisella paikalla, tai ilkeä naapuri, voi lähetellä näitä “haitalliseksi muokattuja verkkopaketteja" bluetoothin tai wifin kautta.

Pystyykö Androidissa ikinä edes laittamaan wifiä kokonaan pois päältä, kun sehän käyttää sitä aina välillä sijainnin haisteluun tai muuhun vastaavaan?

Mobiiliverkkotukiasemien kautta voi periaatteessa myös lähettää tuota laitteen kaappaavaa koodia, mutta käytännössä varmaan aika epätodennäköistä, että hakkerit saavat haltuun noita tukiasemia.

Päivittymättömät laitteet toki voi kipata nyt viimein SER keräykseen, mutta voi olla monella uudemmalla laitteella todella pitkä odotus, jotta valmistajat ehtii työntää käyttispäivitykset ulos.

 

[Nerkoon]

Eipä ole samsungilta päivityksiä näkynyt kännykkään tai tablettiin

 

[Admiral General Aladeen]

Eipä ole samsungilta päivityksiä näkynyt kännykkään tai tablettiin

En pidättelisi hengitystä, kun tietää Samsungin päivitystahdin. Onko muuten kiinalaiset paljon parempia?
Pixel käyttäjät voivat nyt taputtaa itseään selkään.

 

[Nerkoon]

En pidättelisi hengitystä, kun tietää Samsungin päivitystahdin. Onko muuten kiinalaiset paljon parempia?
Pixel käyttäjät voivat nyt taputtaa itseään selkään.

Riskeeraan mieluummin korealaisen kuin kiinalaisen kanssa.