Androidissa kriittinen tietoturvahaavoittuvuus - paikkaaminen vaatii marraskuun tietoturvakorjauspaketin

[NeliYgönen]

Hyökkääjä voi ajaa haitallisen koodin uhrin puhelimella ilman saastuneita linkkejä tai tiedostoja.

Googlen kehittämässä Android-käyttöjärjestelmässä (versiot 13–16) on havaittu kriittinen tietoturvahaavoittuvuus, joka kulkee koodinimellä CVE-2025-48593. Tietoturva-aukko mahdollistaa ulkopuolisen koodin ajamisen etänä uhrin Android-laitteella ilman erityisoikeuksia tai minkäänlaista käyttäjältä vaadittavaa toimintaa, kuten esimerkiksi haitallisen linkin painamista tai tiedoston lataamista. Haavoittuvuuden luonteen vuoksi sitä kutsutaan myös ”zero click -haavoittuvuudeksi”. Google on itse tiedottanut haavoittuvuudesta omassa marraskuisessa Security Bulletin -viestissään ja lisäksi Android-laitevalmistajia Google on käytäntönsä mukaisesti tiedottanut ongelmasta vähintään kuukautta etukäteen.

Androidin Järjestelmä-komponentissa piilevä haavoittuvuus on korjattu marraskuun 2025-11-01-tietoturvakorjauspaketissa. Android Open Source Project (AOSP) on julkaissut haavoittuvuuden lähdekoodikorjauksen myös GitHubiin. Haavoittuvuutta ei tiettävästi ole toistaiseksi hyödynnetty etähyökkäyksiin. Jos päivitystä ei ole vielä asennettu puhelimeen, ainoa varma tapa estää haavoittuvuuden mahdollinen hyödyntäminen on kytkeä Wi-Fi- ja Bluetooth-yhteydet pois päältä. Marraskuun tietoturvakorjauspakettia ei ole kuitenkaan vielä saatavilla useisiin puhelimiin, joihin lukeutuu myös osa Googlen omista Pixel-malleista.

Lähde: AOSP, GBHackers

 

[LaDeX]

Eli joillain korjattu vasta ensi vuoden puolella ja jotkut jää pysyvästi haavoittuvaisiksi.

 

[Seppo77]

Eli joillain korjattu vasta ensi vuoden puolella ja jotkut jää pysyvästi haavoittuvaisiksi.

Todella suuri määrä luureja siis.

 

[LaDeX]

Todella suuri määrä luureja siis.

Ja tabletteja, televisioita jne.

 

[Sommite]

Bluetooth-haavoittuvuus siis kyseessä, HFP-kuulokeajurissa:

In bta_hf_client_cb_init of bta_hf_client_main.cc, there is a possible remote code execution due to a use after free. This could lead to remote code execution with no additional execution privileges needed. User interaction is not needed for exploitation.

Hyökkääjällä olisi siis laite, joka esiintyy HFP-kuulokkeena. Asiantuntija osaisi selvittää, missä olosuhteissa hyökkäystä voi käyttää.

OSV - Open Source Vulnerabilities

Comprehensive vulnerability database for your open source projects and dependencies.

osv.dev

 

[Admiral General Aladeen]

mahdollistaa ulkopuolisen koodin ajamisen ilman erityisoikeuksia tai käyttäjältä vaadittavaa toimintaa.

Eli käyttäjän ei tarvitse tehdä mitään muuta kuin pitää laite käynnissä, niin minkä tahansa verkkoprotokollan, kuten wifin tai bluetootin, läpi voi ottaa laitteen hallintaan. Missä vain julkisella paikalla, tai ilkeä naapuri, voi lähetellä näitä “haitalliseksi muokattuja verkkopaketteja" bluetoothin tai wifin kautta.

Pystyykö Androidissa ikinä edes laittamaan wifiä kokonaan pois päältä, kun sehän käyttää sitä aina välillä sijainnin haisteluun tai muuhun vastaavaan?

Mobiiliverkkotukiasemien kautta voi periaatteessa myös lähettää tuota laitteen kaappaavaa koodia, mutta käytännössä varmaan aika epätodennäköistä, että hakkerit saavat haltuun noita tukiasemia.

Päivittymättömät laitteet toki voi kipata nyt viimein SER keräykseen, mutta voi olla monella uudemmalla laitteella todella pitkä odotus, jotta valmistajat ehtii työntää käyttispäivitykset ulos.

 

[Nerkoon]

Eipä ole samsungilta päivityksiä näkynyt kännykkään tai tablettiin

 

[Admiral General Aladeen]

Eipä ole samsungilta päivityksiä näkynyt kännykkään tai tablettiin

En pidättelisi hengitystä, kun tietää Samsungin päivitystahdin. Onko muuten kiinalaiset paljon parempia?
Pixel käyttäjät voivat nyt taputtaa itseään selkään.

 

[Nerkoon]

En pidättelisi hengitystä, kun tietää Samsungin päivitystahdin. Onko muuten kiinalaiset paljon parempia?
Pixel käyttäjät voivat nyt taputtaa itseään selkään.

Riskeeraan mieluummin korealaisen kuin kiinalaisen kanssa.

 

[terotin]

Oppo ainakin päivittyi hyvissä ajoin.

 

[Wilds]

Tällainen haavoittuvuus kyllä saa miettimään ihan uudella tavalla vanhojen Androidien tietoturvaa. Joita itsellä on käytössä pari. Eli pitäisikö vaihtaa äkkiä uuteen ja tietoturvapäivitettyyn. Vai vuotavatko muuten kohta kaikki tiedot sähköposteista pankkitietoihin maailmalle?

No, otin nyt bluetoothin ja wifin pois päältä varmuuden vuoksi ensi alkuun.

Lisäys: Onni onnettomuudessa, että toisessa laitteessa on Android 8 ja toisessa 12, joita ei tämä reikä koskekaan. Ikivanhuus on voitto! Vai koskeeko sittenkin, ei vain tule päivityksiä?

Lisäys 2: taitaa olla ongelma silti, "The issue was reported internally under Android bug ID A-374746961 and has since been patched in AOSP versions 13 through 16. However, devices running older Android versions or those still awaiting manufacturer updates remain at risk."

 

[asentaja142]

Onko ainut kriittinen tilanne siis jos olet "julkisella" paikalla wifi tai bt päällä?

Githubista:

User Actions​

1. Update Now
   Settings → System → System Update
2. Enable Play Protect
   Google Play → Play Protect → Scan
3. Avoid Untrusted Networks
   Disable Wi-Fi/Bluetooth in public

 

[Wilds]

Onko ainut kriittinen tilanne siis jos olet "julkisella" paikalla wifi tai bt päällä?

Tämä kiinnostaa minuakin. Siis voiko edes omaa koti-wifiä pitää päällä riskittä?

Edit: täällä kerrotaan esimerkkihyökkäyksenä julkinen wifi, tiedä miten toimisi vai toimisiko lainkaan koti-wifin tapauksessa:

Remote code execution = full control. Attackers can read your messages, access your camera, steal your passwords, track your location. Everything. And you won't notice.
Attacker sends specially crafted packet to your device
→ Android System component processes it
→ Arbitrary code execution with SYSTEM privileges
→ Complete device compromise.
You're sitting in a coffeeshop. Attacker on same WiFi. They scan for vulnerable devices. Send exploit. Done.

 

[Marti77]

Ei ole vielä tämän kuun tietoturvapäivitykset tulleet ja samsung luureissa se ajankohta hieman heittelee.
Onneksi sekä puhelimet ja tabletti on sen verran tuore että vielä tulee päivityksiäa ja kaikissa android 16.

 

[Sommite]

Googlen tietoturvatiedotteissa vakavuus arvioidaan yläkanttiin:

The severity assessment is based on the effect that exploiting the vulnerability would possibly have on an affected device, assuming the platform and service mitigations are turned off for development purposes or if successfully bypassed.

Tuotantokäytössä ei toivottavasti ole laitetta, jossa suojaukset olisi kytketty pois.

Suojausten ohittaminen on varmaan joskus mahdollista, mutta vaatii muutakin kuin yhden haavoittuvuuden.

 

[Billy Z. Jubu-Uhuru]

Bluetooth-haavoittuvuus siis kyseessä, HFP-kuulokeajurissa:

Hyökkääjällä olisi siis laite, joka esiintyy HFP-kuulokkeena. Asiantuntija osaisi selvittää, missä olosuhteissa hyökkäystä voi käyttää.

OSV - Open Source Vulnerabilities

Comprehensive vulnerability database for your open source projects and dependencies.

osv.dev

Jep, haavoittuvuus ei liity mitenkään wifiin tai sen käyttämiseen, ja saattaa vaatia (en analysoinut tarkemmin) paritetun bluetooth-laitteen (tai sellaisena esiintymisen) hyökkäysvektoriksi, kerta haavoittuvuus on tuossa HFP-kuulokeyhteyden alustuksessa. Tämän haavoittuvuuden kauhistelut taitaa perustua valtaosin tuohon githubissa olevaan tekoälyllä muodostettuun soopaan, jossa ei ole tolkkua.

 

[Ihmemies MacGyver]

Tällainen haavoittuvuus kyllä saa miettimään ihan uudella tavalla vanhojen Androidien tietoturvaa. Joita itsellä on käytössä pari. Eli pitäisikö vaihtaa äkkiä uuteen ja tietoturvapäivitettyyn. Vai vuotavatko muuten kohta kaikki tiedot sähköposteista pankkitietoihin maailmalle?

No, otin nyt bluetoothin ja wifin pois päältä varmuuden vuoksi ensi alkuun.

Lisäys: Onni onnettomuudessa, että toisessa laitteessa on Android 8 ja toisessa 12, joita ei tämä reikä koskekaan. Ikivanhuus on voitto! Vai koskeeko sittenkin, ei vain tule päivityksiä?

Lisäys 2: taitaa olla ongelma silti, "The issue was reported internally under Android bug ID A-374746961 and has since been patched in AOSP versions 13 through 16. However, devices running older Android versions or those still awaiting manufacturer updates remain at risk."

Jokin Android 8 taitaa olla siinä mielessä jo todella hyvä, koska eihän siihen enää saa edes pankkisovelluksia eikä Chromekaan enää päivity, vaan on rehellisesti vain "puhelin" ilman edes internet surffausta

Takavuosina oli todellakin tiukkaa, kun vain parhaat luurit sai ne pari (ehkä kolme) päivitystä ja halpaluurit ei usein yhtään. Nyt kun 6 vuotta päivittyviä Samsungeja saa tarjouksesta alta parinsatkun, niin olen itse ottanut sen linjan, että mennään vain päivitetyllä laitteella.

Nostalgian nälkään pidän useimmat vanhat romut kaapissa, tai lasten leikkeinä, mutta vanhentuneista luureista poistan accountit ja toki kaikki missä raha liikkuu.

En ole pätevä arvuuttelemaan todennäköisyyttä, että nämä haavoittuvuudet realisoituu omalle kohdalle. Suurin osa haavoittuvuuksista kuitenkin vaatii käyttäjältä toimenpiteitä, kuten jotain unknown pieru-appin asentamista google kaupasta, mutta onhan tällainen bugi aika hazardi, jos ei tarvii edes tehdä mitään, vaan riittää että wifi/bluetutti vain aktiivisena.

 

[Wilds]

Jokin Android 8 taitaa olla siinä mielessä jo todella hyvä, koska eihän siihen enää saa edes pankkisovelluksia eikä Chromekaan enää päivity, vaan on rehellisesti vain "puhelin" ilman edes internet surffausta

Kyllä ainakin Brave-selain toimii Android 8:ssa vielä hyvin. Kirjoittelen tätä sillä. Ei taida tosiaan enää päivittyä, viimeksi 3 kuukautta sitten, piti tarkistaa. (Firefox toimii vielä Android 5:llä.)

En käytä tätä puhelinta muuta kuin nettiselailuun ja esim. Areenan kuunteluun kotona. Siihen on vielä useampi irtoakku olemassa (Motorola G5, 2017 vuodelta), joten käyttökelpoinen johonkin. Kannattaa tosiaan liittää muuhun kuin omaan Googlen päätunnukseen, jos vaikka vuotaa...

 

[jyrkidude]

Kyllä ainakin Brave-selain toimii Android 8:ssa vielä hyvin. Kirjoittelen tätä sillä. Ei taida tosiaan enää päivittyä, viimeksi 3 kuukautta sitten, piti tarkistaa. (Firefox toimii vielä Android 5:llä.)

En käytä tätä puhelinta muuta kuin nettiselailuun ja esim. Areenan kuunteluun kotona. Siihen on vielä useampi irtoakku olemassa (Motorola G5, 2017 vuodelta), joten käyttökelpoinen johonkin. Kannattaa tosiaan liittää muuhun kuin omaan Googlen päätunnukseen, jos vaikka vuotaa...

Jaa, muitakin Moto G5 -ihmisiä. Tähän taisi viimeiset käyttispäivitykset tulla joskus kevättalvella 2019. Kyllä ne päivitykset on yliarvostettuja, hyvin palveli vielä 6,5 vuotta ilmankin. Hieman oikeastaan harmitti, kun piti sitten ostaa uusi puhelin reilu kuukausi sitten. Mutta kun tämän vuoden aikana monet pankki- yms. sovellukset alkoivat kovin hylkiä kasiandroidia.

 

[Jaguafgeg]

Nyt näkyi oma Pixel9 saaneen tietoturvapäivityksen.

 

[TeKi]

Mitenkähän Android TV vaikuttaa?

 

[totallynotrobot]

Riittääkö tässä siis, että on vain wifi tai bluetooth päällä VAI pitääkö olla yhdistettynä avoimeen wifi-verkkoon tai johonkin hyökkääjän bluetooth-laitteeseen? Ei oikein tunnu löytyvän selkeää mainintaa tästä ja tällä on kuitenkin todella iso vaikutus siihen miten isossa riskissä on tietomurron suhteen.

 

[sbasil]

Oppo ainakin päivittyi hyvissä ajoin.

Jep, Oppo X5 sai marraskuun päivityksen kanssa jo jokin aikaa sitten. Hienosti ovat hoitaneet vanhan luurin päivitykset vielä tähän päivään saakka.

 

[Billy Z. Jubu-Uhuru]

Riittääkö tässä siis, että on vain wifi tai bluetooth päällä VAI pitääkö olla yhdistettynä avoimeen wifi-verkkoon tai johonkin hyökkääjän bluetooth-laitteeseen? Ei oikein tunnu löytyvän selkeää mainintaa tästä ja tällä on kuitenkin todella iso vaikutus siihen miten isossa riskissä on tietomurron suhteen.

Tämä haavoittuvuus ei näytä liittyvän wifiin millään tavalla. Bluetooth-haavoittuvuuden osalta (minulla) ei ole vielä varmuutta, että vaikuttaako haavoittuvuus jo bluetooth-laitteiden skannauksessa vai vaatiiko parituksen.