夜雨聆风
谷歌已于 2026 年 6 月推送安卓月度安全更新,共计修复该移动端操作系统内 124 项安全漏洞。其中编号CVE-2025-48595(CVSS 评分 8.4)的漏洞尤为关键,该漏洞目前已遭黑客在野利用发起实战攻击。
此漏洞影响搭载安卓 14、15、16 系统以及 Android 16 QPR2 版本的设备。据谷歌发布的安卓安全公告介绍,漏洞根源为整数溢出缺陷,攻击者借此可在受影响设备上实现任意代码执行与权限提升。无需额外授权权限,不法分子就能利用该漏洞提权获取系统高阶访问权限。
谷歌证实,已有迹象表明该漏洞正被小范围定向在野利用。安全公告原文表述:“现有线索显示 CVE-2025-48595 遭遇有限度、针对性的漏洞利用。”谷歌并未披露攻击实施主体、受害设备数量以及漏洞的传播入侵方式。
这类信息缺位实属常态。谷歌提及 “有限度、针对性利用” 时,一般指代黑客精准挑选少量目标实施入侵,而非大规模全网蠕虫式泛滥攻击。过往安卓安全事件中,标注同类描述的漏洞事后大多被证实关联商业间谍软件厂商或受国家资助的黑客组织,攻击目标多为记者、政界人士、异见人士、企业高管与公职人员。
现阶段暂无公开线索能将 CVE-2025-48595 绑定至具体威胁组织,但多项特征表明该攻击链路技术门槛极高,区别于普通网络黑产犯罪。该漏洞属于本地漏洞、无需用户交互,漏洞点位位于安卓框架层 —— 系统最核心敏感层级之一。安全研究人员研判最可行入侵路径:恶意应用安装落地后,滥用此漏洞完成权限提升,最终实现整机完全接管。
这类漏洞能力正是商业监控间谍软件厂商重点觊觎的目标。间谍软件运营方无需海量中招设备,攻克少量高价值目标即可获利,盈利逻辑和勒索软件截然不同:单次成功入侵的收益往往远超大范围批量作案。
美国网络安全与基础设施安全局(CISA)于 2026 年 6 月 2 日将 CVE-2025-48595 录入已知在野利用漏洞(KEV)清单,要求美国联邦民用行政分支各机构在 2026 年 6 月 5 日前完成漏洞修复整改。
除 CVE-2025-48595 外,谷歌还修补了安卓系统组件中多款可造成权限越权的高危漏洞。本次更新划分两个补丁基线:2026-06-01 与 2026-06-05;刷入后者补丁的设备,将囊括前一版本全部修复项,额外增补 Linux 内核、高通、联发科、紫光展锐、Imagination Technologies 等第三方芯片厂商组件安全补丁。
安卓碎片化升级生态仍是最大短板:谷歌亲儿子 Pixel 机型可第一时间接收补丁,其余绝大多数手机厂商需自行完成适配测试、系统定制后才分批推送更新。漏洞披露后,部分用户设备仍会连续数周乃至数月处于裸漏风险中。攻击者深谙该痛点,多数漏洞攻防竞速并非始于漏洞曝光,而是从官方补丁发布之日正式开启。
