-
09/04/2020
-
141
-
1.949 bài viết
Google vá lỗ hổng Android CVE-2025-48595 đang bị khai thác thực tế
Google vừa xác nhận một lỗ hổng zero-day nghiêm trọng trên hệ điều hành Android, được theo dõi với mã CVE-2025-48595, đang bị khai thác trong các chiến dịch tấn công có chủ đích ở phạm vi giới hạn. Thông tin được công bố trong bản tin bảo mật Android tháng 6/2026, trong đó Google ghi nhận dấu hiệu khai thác thực tế trước khi bản vá được phát hành rộng rãi.
Theo mô tả kỹ thuật, CVE-2025-48595 tồn tại trong thành phần Android Framework và thuộc nhóm lỗ hổng leo thang đặc quyền. Khi bị khai thác thành công, kẻ tấn công có thể nâng quyền hệ thống và tiến tới kiểm soát gần như toàn bộ thiết bị, vượt qua nhiều cơ chế bảo vệ cốt lõi của Android.
Trong một số điều kiện nhất định, lỗ hổng có thể bị khai thác từ xa mà không cần bất kỳ tương tác nào từ người dùng. Điều này làm gia tăng mức độ nguy hiểm, đặc biệt trong các chiến dịch tấn công có chủ đích, khi kẻ tấn công thường kết hợp nhiều lỗ hổng trong chuỗi khai thác để chiếm quyền điều khiển thiết bị.
Google cho biết lỗ hổng ảnh hưởng đến các thiết bị chạy Android 14, Android 15, Android 16 và Android 16 QPR2. Tuy nhiên, các phân tích bảo mật cho thấy phạm vi ảnh hưởng của chiến dịch khai thác có thể rộng hơn, bao phủ nhiều thiết bị đang vận hành các phiên bản này. Trong các kịch bản thực tế, lỗ hổng leo thang đặc quyền không đứng độc lập mà thường được các nhóm tấn công tinh vi tích hợp vào chuỗi khai thác cùng các mã độc hoặc lỗ hổng khác nhằm mở rộng mức độ kiểm soát.
Mục tiêu cuối cùng của các chuỗi tấn công này là thiết lập sự hiện diện bền bỉ trên thiết bị, triển khai hoạt động giám sát bí mật và trích xuất dữ liệu quy mô lớn. Khi thiết bị chưa được cập nhật bản vá kịp thời, các cơ chế phòng vệ mặc định của hệ điều hành như sandboxing hay lớp bảo vệ runtime có thể bị vượt qua, tạo điều kiện cho kẻ tấn công duy trì quyền kiểm soát trong thời gian dài.
Trong bản cập nhật bảo mật tháng 6/2026, Google đã phát hành bản vá với mức security patch level 2026-06-05, đồng thời khắc phục các lỗ hổng nghiêm trọng có thể bị khai thác để leo thang đặc quyền trên thiết bị Android. Trong một số kịch bản khai thác kết hợp, các lỗ hổng này có thể góp phần dẫn đến chiếm quyền điều khiển thiết bị từ xa. Mã nguồn bản vá sẽ được phát hành lên Android Open Source Project (AOSP), cho phép các nhà sản xuất thiết bị và cộng đồng phát triển nhanh chóng tích hợp bản sửa lỗi vào hệ thống.
Bên cạnh đó, Google nhấn mạnh vai trò của Google Play Protect trong việc giảm thiểu rủi ro khai thác, đặc biệt trên các thiết bị có Google Mobile Services. Hệ thống này có khả năng quét ứng dụng và cảnh báo hành vi độc hại theo thời gian thực. Tuy nhiên, Google cũng cảnh báo rằng các thiết bị cài ứng dụng từ nguồn bên ngoài hệ sinh thái chính thức vẫn đối mặt nguy cơ cao hơn, do đây là kênh thường bị lợi dụng để phân phối mã khai thác hoặc payload độc hại.
Theo Google, các đối tác sản xuất thiết bị đã được thông báo về lỗ hổng này ít nhất một tháng trước khi công bố rộng rãi, nhằm đảm bảo đủ thời gian chuẩn bị và triển khai bản vá đến người dùng cuối.
Trước mức độ phức tạp của chiến dịch khai thác zero-day này, các chuyên gia khuyến nghị người dùng cá nhân và các tổ chức quản trị hệ thống thiết bị doanh nghiệp nhanh chóng cập nhật thiết bị lên phiên bản vá lỗi mới nhất, nhằm giảm thiểu bề mặt tấn công và nguy cơ bị khai thác.