吳明宜Google 本周發布關於 Android 裝置的重大安全公告,警告其系統核心元件存在零點擊漏洞,可讓攻擊者不需使用者互動,就能遠端執行惡意程式碼。
根據 2025 年 11 月的 Android 安全公告,該漏洞影響 Android Open Project (AOSP) 多個版本。由於 Android 為數十億手機用戶的運算底層,本漏洞意味未來可能的風險。
本月安全公告最重要的是 CVE-2025-48593,它是一個系統元件的遠端程式碼執行 (RCE) 漏洞。本漏洞出在系統層程序處理不當,允許攻擊者在例行性運作如 App 啟動或背景同步時執行任意程式。安全研究人員指出,雖然問題何在尚不清楚,也暫免被廣泛濫用,但和 Android 過往因記憶體毁損造成權限升級的漏洞很像。
攻擊者可傳送改造的網路封包或以側載、第三方軟體商店散佈惡意程式,藉此濫用本漏洞。結果是讓攻擊者竊取資料、部署勒索軟體,甚至將手機變成殭屍網路節點,而且皆不需使用者任何互動。 Google 將之列為重大風險。
該漏洞已在 AOSP 13 到 16 版中修補。 Android 10 以上的裝置可安裝更新,不過之前版本的手機就要看廠商是否會釋出更新。
除了這項漏洞,11 月 Android 安全公告還修補了 CVE-202548581,為存在同一系統元件的高嚴重性權限提升 (elevation of privilege, EoP) 漏洞,可讓惡意 App 未授權存取敏感功能,但前提示它要能先成功存取裝置。
目前尚未有漏洞濫用的通報,但零點擊漏洞風險不可小覷,Google 強烈建議用戶安裝 2025-11-01 安全修補等級 (security patch level) 更新,以全面解決這些漏洞。裝置廠商如 Google Pixel 、三星、小米等理應都已向用戶釋出更新。