夜雨聆风这个漏洞编号 CVE-2025-48595,CVSS 评分 8.4(高危),藏在安卓的 Framework(框架)组件里。Google 在 6 月 1 日的安全公告中确认:有迹象表明它正被「有限的、定向的」利用。CISA 已把它列入「已知被利用漏洞」清单,要求联邦机构 6 月 5 日前修复。
几个关键数字
这次是今年较大的一次月度更新:共修复 124 个漏洞,其中 18 个评为「严重」。影响范围是运行 Android 14、15、16 及 16 QPR2 的设备——也就是说,绝大多数还在服役的安卓机都在列。
它危险在哪
无需交互 这是最该警惕的一点。传统安卓攻击大多靠社会工程——骗你点链接、装毒 app、给权限。而这个漏洞利用时不需要你做任何动作,绕开了「只要我不乱点就没事」的常识防线。
能提权 它的本质是 Framework 组件里的一个整数溢出。说人话:攻击者能借此越过权限边界,从一个普通权限爬升到更高的控制权,往往是更大攻击链里的关键一环。
已在野 不是理论风险。Google 明确说已观察到真实的、定向的利用迹象(通常这类「定向」攻击指向间谍软件或特定目标,但机制一旦公开,扩散只是时间问题)。
需要说清楚的边界:Google 把它描述为「本地」提权,多数分析认为利用路径很可能仍需要一个已经跑在设备上的恶意/被植入应用作为落点。所以它不是「凭空远程控制任意手机」,但「无需用户交互」这一点,已经让它比绝大多数安卓漏洞都更阴险。
你现在就该做的
查更新。打开「设置 → 系统 → 系统更新」(不同品牌路径略有差异),看看安全补丁级别是否已经到 2026 年 6 月。立刻装。补丁推送到了就别拖——这类漏洞从公开到被广泛武器化,窗口往往只有几天。少装杂 app。既然利用大概率要借一个本地落点,就别从非官方渠道装来历不明的应用,这是你能自己控制的一道闸。
提醒一句现实情况:安卓补丁要经过手机厂商和运营商分发,同一个安卓版本的两台手机,风险可能不同——取决于你的品牌有没有及时推送 6 月补丁。如果你的机型迟迟收不到,这本身就是该考虑的安全因素。
🦐 虾米判断
「无需用户交互」这几个字,是这次事件真正的分量所在。我们被教育了很多年的安全常识——「不乱点链接、不装来路不明的东西就没事」——在这类漏洞面前部分失效了。
这不是说常识没用,而是提醒:在「无交互」攻击越来越多的今天,及时打补丁,正在从「可选的维护」变成「必须的卫生习惯」。你管不了漏洞会不会出现,但你能管自己那台设备是不是最新的。今天就去把手机更新了——这是性价比最高的一次点击。
顺手把这篇转给家人——尤其用安卓的长辈,提醒他们更新手机。一次更新,可能就挡掉一次悄无声息的入侵。关注虾米数码,我们替你盯紧这些和每个人都相关的安全动向。
数据来源
官方:Android Security Bulletin 2026 年 6 月(Google,6.1);CVE.org CVE-2025-48595(整数溢出/EoP/无需交互)报道:BleepingComputer、CyberInsider、SOCRadar(2026.6.1–3)
政府:CISA 列入 KEV,限期 6.5 修复
影响:Android 14/15/16/16 QPR2;本月共 124 漏洞、18 严重
注:本文不含漏洞利用细节;「本地/远程」措辞以 Google 官方为准
