關閉選單
  1. Home
  2. NEWS最新消息
  3. 資安威脅情資
  4. 資安漏洞
顯示分類
2025.09.04
資安威脅情資/資安漏洞
谷歌在九月更新中修復了被積極利用的 Android 漏洞
報導摘要

Google於2025年9月發布了針對Android作業系統的最新安全更新,此更新共修補了84個漏洞,其中最引人注目的是兩項已遭駭客「有限且定向利用」的零日漏洞。這兩項漏洞分別是存在於Android核心(Kernel)和Android執行環境(Runtime)中的權限提升(Elevation of Privilege)弱點。此外,本次更新也修復了包括遠端程式碼執行(Remote Code Execution, RCE)在內的四個嚴重(Critical)等級漏洞,這些漏洞主要影響Android系統及高通(Qualcomm)的特定組件。這起事件再次提醒我們,即使是看似安全的行動裝置,也持續面臨來自網路世界的潛在威脅,即時的系統更新是保護自身免受攻擊最直接且有效的方式。


漏洞詳情與嚴重性分析

本次九月Android安全更新中的兩項零日漏洞分別被編號為CVE-2025-38352和CVE-2025-48543。所謂「零日漏洞」(Zero-Day Flaw),指的是在軟體開發商或廠商發現並修補之前,就已經被駭客發現並利用的漏洞。這類漏洞由於缺乏公開的補丁,使得使用者在一段時間內處於毫無防禦的狀態,因此被視為最具威脅性的資安風險之一。

CVE-2025-38352是一個位於Android核心的權限提升漏洞。Android核心是作業系統最底層的核心組件,負責管理硬體資源和軟體運作。一旦這個漏洞被利用,攻擊者便能從普通使用者權限,提升到系統最高權限,進而完全控制受感染的裝置。這意味著駭客可以隨意安裝惡意軟體、竊取個人資料、監控使用者行為,甚至將裝置變成殭屍網路的一部分。

另一項漏洞CVE-2025-48543則存在於Android執行環境中。此漏洞同樣能被利用來進行權限提升攻擊。Android執行環境是應用程式執行的核心,此漏洞的危險性在於,惡意應用程式可以利用此弱點,突破Android系統的沙盒(sandbox)機制,存取其他應用程式的資料或系統敏感資訊。這對於那些注重資料隱私的用戶來說,是極其嚴重的威脅。

除了這兩項零日漏洞外,Google還修復了四個被評為「嚴重」等級的漏洞。其中最值得注意的是CVE-2025-48539,一個存在於Android系統中的遠端程式碼執行漏洞。這個漏洞的特點是,攻擊者無需與用戶進行任何互動,只要透過物理或網路接近,就能在受害者的裝置上執行惡意程式碼。這類攻擊特別危險,因為它不需要用戶點擊惡意連結或下載可疑檔案,攻擊可以在使用者毫無察覺的情況下發生。另外三項嚴重漏洞(CVE-2025-21450、CVE-2025-21483和CVE-2025-27034)則位於高通組件中,凸顯了行動裝置供應鏈的複雜性,任何一個環節的漏洞都可能影響整體安全。


攻擊手法與潛在影響

這些漏洞的利用手法多樣,但核心目標都是為了取得裝置的控制權或竊取資料。對於權限提升漏洞,駭客可能會將惡意程式碼隱藏在看似無害的應用程式中,一旦用戶安裝了這些應用程式,惡意程式便會利用漏洞來取得更高權限,進而在後台執行惡意行為。由於零日漏洞的特殊性,許多傳統的防毒軟體和資安解決方案可能無法及時偵測到這些攻擊。而遠端程式碼執行漏洞則更具威脅性,駭客可以在公共Wi-Fi網路等環境中,向附近未修補漏洞的裝置發動攻擊,這使得即使是那些謹慎不下載可疑應用的用戶也無法倖免。

這些漏洞的成功利用可能導致多重後果。對於個人用戶而言,最直接的影響可能是個人隱私資料的洩露,包括通訊錄、簡訊、照片、銀行帳號密碼等。駭客也可能利用這些裝置發動進一步的攻擊,例如發送垃圾郵件、進行DDoS攻擊,或是將裝置變成加密貨幣的挖礦機,消耗用戶的電力和硬體資源。對於企業和組織來說,如果員工使用受感染的個人裝置連接公司內部網路,將可能導致整個企業網路的安全面臨威脅,造成資料外洩或服務中斷的嚴重後果。


更新的重要性與建議

面對如此嚴峻的資安挑戰,即時更新Android系統變得比以往任何時候都更為重要。Google發布的這次更新不僅修復了已知的漏洞,更是為用戶提供了一道堅實的防護。然而,由於Android生態系的碎片化,不同品牌和型號的裝置收到更新的時間不一。因此,使用者應主動檢查並安裝最新的安全補丁。

使用者可以透過以下步驟來檢查和安裝更新:進入「設定」 > 「關於手機」或「系統」 > 「系統更新」或「軟體更新」,然後檢查是否有可用的更新並立即安裝。

除了保持系統更新之外,以下是更全面的資安防護建議:

  1. 僅從官方管道下載應用程式: 僅從Google Play商店下載應用程式,避免從未知或不可信的來源下載APK檔案。

  2. 謹慎授予權限: 在安裝應用程式時,仔細審查其所要求的權限,並只授予完成其功能所必需的最低權限。

  3. 使用強密碼與多重驗證: 為所有重要帳號啟用多重身份驗證(MFA),並使用獨特且複雜的密碼。

  4. 安裝資安軟體: 使用信譽良好的資安軟體來掃描惡意應用程式和惡意連結。

  5. 定期備份重要資料: 即使不幸遭受攻擊,也可以透過備份快速復原重要資料,減少損失。


資安生態系與供應鏈責任

這起事件也再次凸顯了整個Android資安生態系中的共同責任。Google負責發現和修補漏洞,並將更新推送給其Pixel系列裝置。然而,對於其他Android手機製造商,Google會將補丁提供給他們,再由這些廠商進行測試、整合,最後才推送給使用者。這段時間差可能長達數週甚至數月,使得部分用戶處於高風險狀態。高通等硬體供應商也承擔著提供安全組件的責任。企業在採購手機時,應將廠商的資安更新政策納入考量。總而言之,資安防護是一場持續的戰役,需要軟體開發商、硬體廠商、使用者和資安專家共同努力,才能在不斷演變的網路威脅中確保數位世界的安全。


資料來源:https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-android-flaws-in-september-update/
分析Google在2025年9月Android系統更新中修復的兩項已遭利用的零日漏洞,以及其他多項關鍵資安風險。