Googlen marraskuussa 2025 julkaistut Android-tietoturvakorjaukset sisältävät kriittiseksi luokitellun korjauksen, joka liittyy CVE-2025-48593-tunnisteella merkittyyn haavoittuvuuteen.
Korjaus haavoittuvuudelle Androidin järjestelmäkomponentissa on saatavilla neljälle viimeisimmälle Android-versiolle (13, 14, 15 ja 16).
Kyseessä on erittäin vakava haavoittuvuus, joka antaa hyökkääjälle mahdollisuuden suorittaa haluamaansa koodia järjestelmässä yhteyden muodostamisen jälkeen. Haavoittuvuuden vakavuutta lisää se, että sen hyväksikäyttö ei vaadi korotettuja käyttöoikeuksia eikä käyttäjän toimia, kuten tiedostojen lataamista tai avaamista, vaan hyökkäys voi tapahtua taustalla täysin huomaamatta, mikä antaa hyökkääjälle käytännössä vapauden varastaa tietoja ja hallita laitetta.
Haavoittuvuus vaikuttaa laajasti eri valmistajien Android-laitteisiin edellä mainituilla Android-versioilla, ellei niitä ole päivitetty marraskuun 2025 tietoturvakorjauksilla.
Google on tiedottanut haavoittuvuudesta Android-laitteiden valmistajille ainakin kuukautta ennen marraskuussa julkaistua julkista tietoa. Android-laitteissa tietoturvapäivitysten jakelu on kuitenkin valmistajien vastuulla, ja korjauksen saatavuus haavoittuvuuteen voi vaihdella.
Suojautuakseen haavoittuvuudelta Google suosittelee päivitysten asentamista heti. Suojan saamiseksi vakavalta haavoittuvuudelta onkin suositeltavaa tarkistaa Android-laitteen asetuksista päivitysten ajantasaisuus (Androidin tietoturvapäivitys vähintään 1. marraskuuta 2025) tai asentaa viimeisimmät saatavilla olevat päivitykset.
Kaikille laitteille ei ole vielä julkaistu päivityksiä, joten niiden saataville tuloa voi joutua odottamaan jonkin aikaa.
Ennen haavoittuvuuden korjaamista suojautumista voi helpottaa oletuksena Android-laitteissa käytössä oleva Google Play Protect -palvelu. Google tarjoaa verkkosivuillaan ohjeita, joiden avulla voi varmistaa Play Protectin olevan aktivoituna.
Lisäksi, koska hyökkäykset voivat tapahtua Wi-Fi:n ja Bluetoothin kautta, näiden yhteyksien poistaminen käytöstä voi estää hyökkäysmahdollisuuden.
Tiettävästi haavoittuvuutta ei ole vielä hyödynnetty hyökkäyksissä.
Päivitetty 10. marraskuuta kello 12.57: Lisätty maininta Wi-Fi:n ja Bluetoothin poistamisesta käytöstä.
