Androidissa kriittinen tietoturvahaavoittuvuus - paikkaaminen vaatii marraskuun tietoturvakorjauspaketin

[Juha Kokkonen]

Androidissa (versiot 13-16) on havaittu kriittinen tietoturvahaavoittuvuus (CVE-2025-48593), joka mahdollistaa ulkopuolisen koodin ajamisen ilman erityisoikeuksia tai käyttäjältä vaadittavaa toimintaa. Google on tiedottanut haavoittuvuuden olemassaolosta omassa marraskuisessa Security Bulletin -viestissään ja lisäksi laitevalmistajia on tiedotettu vähintään kuukausi etukäteen.

Haavoittuvuus on korjattu Androidin tietoturvakorjauspaketissa, joka on päivätty marraskuulle 2025 (2025-11-01). Haavoittuvuutta ei tiettävästi ole toistaiseksi hyödynnetty hyökkääjien toimesta. Jos päivitystä ei ole vielä asennettu puhelimeen, ainoa varma tapa estää sen mahdollinen hyödyntäminen on kytkeä WiFi- ja Bluetooth-yhteydet pois päältä. Useimpiin puhelimiin, mukaan lukien osa Googlen omista Pixel-malleista, päivitystä ei ole vielä saatavilla.

Lähteet:

Android Security Bulletin—November 2025 | Android Open Source Project

source.android.com

Android Hit by 0-Click RCE Vulnerability in Core System Component

Google has released an urgent security alert addressing a critical remote code execution vulnerability affecting Android devices worldwide.

gbhackers.com

GitHub - B1ack4sh/Blackash-CVE-2025-48593: CVE-2025-48593

CVE-2025-48593. Contribute to B1ack4sh/Blackash-CVE-2025-48593 development by creating an account on GitHub.

github.com

 

[LaDeX]

Eli joillain korjattu vasta ensi vuoden puolella ja jotkut jää pysyvästi haavoittuvaisiksi.

 

[Seppo77]

Eli joillain korjattu vasta ensi vuoden puolella ja jotkut jää pysyvästi haavoittuvaisiksi.

Todella suuri määrä luureja siis.

 

[LaDeX]

Todella suuri määrä luureja siis.

Ja tabletteja, televisioita jne.

 

[Sommite]

Bluetooth-haavoittuvuus siis kyseessä, HFP-kuulokeajurissa:

In bta_hf_client_cb_init of bta_hf_client_main.cc, there is a possible remote code execution due to a use after free. This could lead to remote code execution with no additional execution privileges needed. User interaction is not needed for exploitation.

Hyökkääjällä olisi siis laite, joka esiintyy HFP-kuulokkeena. Asiantuntija osaisi selvittää, missä olosuhteissa hyökkäystä voi käyttää.

OSV - Open Source Vulnerabilities

Comprehensive vulnerability database for your open source projects and dependencies.

osv.dev

 

[Admiral General Aladeen]

mahdollistaa ulkopuolisen koodin ajamisen ilman erityisoikeuksia tai käyttäjältä vaadittavaa toimintaa.

Eli käyttäjän ei tarvitse tehdä mitään muuta kuin pitää laite käynnissä, niin minkä tahansa verkkoprotokollan, kuten wifin tai bluetootin, läpi voi ottaa laitteen hallintaan. Missä vain julkisella paikalla, tai ilkeä naapuri, voi lähetellä näitä “haitalliseksi muokattuja verkkopaketteja" bluetoothin tai wifin kautta.

Pystyykö Androidissa ikinä edes laittamaan wifiä kokonaan pois päältä, kun sehän käyttää sitä aina välillä sijainnin haisteluun tai muuhun vastaavaan?

Mobiiliverkkotukiasemien kautta voi periaatteessa myös lähettää tuota laitteen kaappaavaa koodia, mutta käytännössä varmaan aika epätodennäköistä, että hakkerit saavat haltuun noita tukiasemia.

Päivittymättömät laitteet toki voi kipata nyt viimein SER keräykseen, mutta voi olla monella uudemmalla laitteella todella pitkä odotus, jotta valmistajat ehtii työntää käyttispäivitykset ulos.

 

[Nerkoon]

Eipä ole samsungilta päivityksiä näkynyt kännykkään tai tablettiin

 

[Admiral General Aladeen]

Eipä ole samsungilta päivityksiä näkynyt kännykkään tai tablettiin

En pidättelisi hengitystä, kun tietää Samsungin päivitystahdin. Onko muuten kiinalaiset paljon parempia?
Pixel käyttäjät voivat nyt taputtaa itseään selkään.

 

[Nerkoon]

En pidättelisi hengitystä, kun tietää Samsungin päivitystahdin. Onko muuten kiinalaiset paljon parempia?
Pixel käyttäjät voivat nyt taputtaa itseään selkään.

Riskeeraan mieluummin korealaisen kuin kiinalaisen kanssa.

 

[terotin]

Oppo ainakin päivittyi hyvissä ajoin.

 

[Wilds]

Tällainen haavoittuvuus kyllä saa miettimään ihan uudella tavalla vanhojen Androidien tietoturvaa. Joita itsellä on käytössä pari. Eli pitäisikö vaihtaa äkkiä uuteen ja tietoturvapäivitettyyn. Vai vuotavatko muuten kohta kaikki tiedot sähköposteista pankkitietoihin maailmalle?

No, otin nyt bluetoothin ja wifin pois päältä varmuuden vuoksi ensi alkuun.

Lisäys: Onni onnettomuudessa, että toisessa laitteessa on Android 8 ja toisessa 12, joita ei tämä reikä koskekaan. Ikivanhuus on voitto! Vai koskeeko sittenkin, ei vain tule päivityksiä?

Lisäys 2: taitaa olla ongelma silti, "The issue was reported internally under Android bug ID A-374746961 and has since been patched in AOSP versions 13 through 16. However, devices running older Android versions or those still awaiting manufacturer updates remain at risk."

 

[asentaja142]

Onko ainut kriittinen tilanne siis jos olet "julkisella" paikalla wifi tai bt päällä?

Githubista:

User Actions​

1. Update Now
   Settings → System → System Update
2. Enable Play Protect
   Google Play → Play Protect → Scan
3. Avoid Untrusted Networks
   Disable Wi-Fi/Bluetooth in public

 

[Wilds]

Onko ainut kriittinen tilanne siis jos olet "julkisella" paikalla wifi tai bt päällä?

Tämä kiinnostaa minuakin. Siis voiko edes omaa koti-wifiä pitää päällä riskittä?

Edit: täällä kerrotaan esimerkkihyökkäyksenä julkinen wifi, tiedä miten toimisi vai toimisiko lainkaan koti-wifin tapauksessa:

Remote code execution = full control. Attackers can read your messages, access your camera, steal your passwords, track your location. Everything. And you won't notice.
Attacker sends specially crafted packet to your device
→ Android System component processes it
→ Arbitrary code execution with SYSTEM privileges
→ Complete device compromise.
You're sitting in a coffeeshop. Attacker on same WiFi. They scan for vulnerable devices. Send exploit. Done.

 

[Marti77]

Ei ole vielä tämän kuun tietoturvapäivitykset tulleet ja samsung luureissa se ajankohta hieman heittelee.
Onneksi sekä puhelimet ja tabletti on sen verran tuore että vielä tulee päivityksiäa ja kaikissa android 16.

 

[Sommite]

Googlen tietoturvatiedotteissa vakavuus arvioidaan yläkanttiin:

The severity assessment is based on the effect that exploiting the vulnerability would possibly have on an affected device, assuming the platform and service mitigations are turned off for development purposes or if successfully bypassed.

Tuotantokäytössä ei toivottavasti ole laitetta, jossa suojaukset olisi kytketty pois.

Suojausten ohittaminen on varmaan joskus mahdollista, mutta vaatii muutakin kuin yhden haavoittuvuuden.

 

[Billy Z. Jubu-Uhuru]

Bluetooth-haavoittuvuus siis kyseessä, HFP-kuulokeajurissa:

Hyökkääjällä olisi siis laite, joka esiintyy HFP-kuulokkeena. Asiantuntija osaisi selvittää, missä olosuhteissa hyökkäystä voi käyttää.

OSV - Open Source Vulnerabilities

Comprehensive vulnerability database for your open source projects and dependencies.

osv.dev

Jep, haavoittuvuus ei liity mitenkään wifiin tai sen käyttämiseen, ja saattaa vaatia (en analysoinut tarkemmin) paritetun bluetooth-laitteen (tai sellaisena esiintymisen) hyökkäysvektoriksi, kerta haavoittuvuus on tuossa HFP-kuulokeyhteyden alustuksessa. Tämän haavoittuvuuden kauhistelut taitaa perustua valtaosin tuohon githubissa olevaan tekoälyllä muodostettuun soopaan, jossa ei ole tolkkua.

 

[Ihmemies MacGyver]

Tällainen haavoittuvuus kyllä saa miettimään ihan uudella tavalla vanhojen Androidien tietoturvaa. Joita itsellä on käytössä pari. Eli pitäisikö vaihtaa äkkiä uuteen ja tietoturvapäivitettyyn. Vai vuotavatko muuten kohta kaikki tiedot sähköposteista pankkitietoihin maailmalle?

No, otin nyt bluetoothin ja wifin pois päältä varmuuden vuoksi ensi alkuun.

Lisäys: Onni onnettomuudessa, että toisessa laitteessa on Android 8 ja toisessa 12, joita ei tämä reikä koskekaan. Ikivanhuus on voitto! Vai koskeeko sittenkin, ei vain tule päivityksiä?

Lisäys 2: taitaa olla ongelma silti, "The issue was reported internally under Android bug ID A-374746961 and has since been patched in AOSP versions 13 through 16. However, devices running older Android versions or those still awaiting manufacturer updates remain at risk."

Jokin Android 8 taitaa olla siinä mielessä jo todella hyvä, koska eihän siihen enää saa edes pankkisovelluksia eikä Chromekaan enää päivity, vaan on rehellisesti vain "puhelin" ilman edes internet surffausta

Takavuosina oli todellakin tiukkaa, kun vain parhaat luurit sai ne pari (ehkä kolme) päivitystä ja halpaluurit ei usein yhtään. Nyt kun 6 vuotta päivittyviä Samsungeja saa tarjouksesta alta parinsatkun, niin olen itse ottanut sen linjan, että mennään vain päivitetyllä laitteella.

Nostalgian nälkään pidän useimmat vanhat romut kaapissa, tai lasten leikkeinä, mutta vanhentuneista luureista poistan accountit ja toki kaikki missä raha liikkuu.

En ole pätevä arvuuttelemaan todennäköisyyttä, että nämä haavoittuvuudet realisoituu omalle kohdalle. Suurin osa haavoittuvuuksista kuitenkin vaatii käyttäjältä toimenpiteitä, kuten jotain unknown pieru-appin asentamista google kaupasta, mutta onhan tällainen bugi aika hazardi, jos ei tarvii edes tehdä mitään, vaan riittää että wifi/bluetutti vain aktiivisena.

 

[Wilds]

Jokin Android 8 taitaa olla siinä mielessä jo todella hyvä, koska eihän siihen enää saa edes pankkisovelluksia eikä Chromekaan enää päivity, vaan on rehellisesti vain "puhelin" ilman edes internet surffausta

Kyllä ainakin Brave-selain toimii Android 8:ssa vielä hyvin. Kirjoittelen tätä sillä. Ei taida tosiaan enää päivittyä. En käytä tätä puhelinta muuta kuin nettiselailuun ja esim. Areenan kuunteluun kotona. Siihen on vielä useampi irtoakku olemassa (Motorola G5, 2017 vuodelta), joten käyttökelpoinen johonkin. Kannattaa tosiaan liittää muuhun kuin omaan Googlen päätunnukseen, jos vaikka vuotaa...