Google закърпи 124 уязвимости в Android, включително експлоатиран zero-day

Какво се случи

Google пусна мащабен юнски пач за Android, който адресира общо 124 уязвимости. Сред тях има критична “нулев ден” дупка (CVE-2025-48595), за която компанията потвърди, че вече е била използвана при насочени кибератаки. Уязвимостта е позволявала на нападатели да заобикалят защитни механизми, да придобиват високи (административни) права и да изпълняват зловреден код дистанционно на устройства с Android 14 и по-нови.

Как бяха разпределени поправките

Корекциите бяха изпълнени в две фази — с ефект от 1 и 5 юни. Първата вълна покри ядрените и общоплатформени проблеми, докато втората съдържа пачове за външни, затворенокодови хардуерни компоненти, които не са налични във всички модели телефони. Потребителите на Google Pixel традиционно получават ъпдейтите първи; останалите производители трябва да адаптират и тестват промените за своите потребителски интерфейси и хардуарни архитектури, което може да забави разпространението на пачовете.

Засяганата zero-day уязвимост

CVE-2025-48595 е открита от Google още през пролетта на предходната година, след което са регистрирани единични опити за експлоатация. Въпреки че проблемът вече е поправен, компанията не публикува детайлни технически описания нито данни за профила на извършените атаки — подход, целящ да затрудни евентуални последващи злоупотреби. По подобен начин често се реагира при уязвимости, свързани със скъпо платен шпионски софтуер или операции, насочени към висши длъжностни лица.

Други значими фиксове

Пачът поправя още редица сериозни слабости: около 18 критични дупки в системните библиотеки на Framework и в някои чипове на Qualcomm, които биха могли да доведат до срив на софтуера (DoS) или до отдалечено повишаване на права. Една от най-опасните отслабености е била възможността за повишаване на потребителските права без каквото и да е действие от страна на жертвата — факт, който подчертава нуждата от бързи ъпдейти. Тези мерки следват серия от спешни кръпки, имплементирани по-рано през годината заради проблеми в графичните компоненти.

Стратегия за намиране на уязвимости

За да поощри откриването на сериозни бъгове преди да станат оръжие в ръцете на престъпници, Google промени своята програма за награди. Основният хонорар за откриване на фундаментален дефект в Android бе повишен до 1,5 милиона долара, докато възнагражденията за уязвимости, открити чрез помощта на изкуствен интелект, бяха намалени. Компанията отново напомня, че най-ефективната защита е инсталирането на най-новите софтуерни версии.

Какво да направите

• Актуализирайте телефона си веднага щом производителя пусне съответния пач.
• Следете официалните съобщения от производителя на вашето устройство за налични ъпдейти и инструкции.
• Избягвайте инсталирането на ненадеждни приложения или профили, които изискват необичайни разрешения.

Актуализациите намаляват риска и правят експлоатациите по-трудни и икономически неизгодни за нападателите, затова инсталирането им остава най-важната стъпка за защита.