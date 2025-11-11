Hyökkääjä voi ajaa haitallisen koodin uhrin puhelimella ilman saastuneita linkkejä tai tiedostoja.

Googlen kehittämässä Android-käyttöjärjestelmässä (versiot 13–16) on havaittu kriittinen tietoturvahaavoittuvuus, joka kulkee koodinimellä CVE-2025-48593. Tietoturva-aukko mahdollistaa ulkopuolisen koodin ajamisen etänä uhrin Android-laitteella ilman erityisoikeuksia tai minkäänlaista käyttäjältä vaadittavaa toimintaa, kuten esimerkiksi haitallisen linkin painamista tai tiedoston lataamista. Haavoittuvuuden luonteen vuoksi sitä kutsutaan myös ”zero click -haavoittuvuudeksi”. Google on itse tiedottanut haavoittuvuudesta omassa marraskuisessa Security Bulletin -viestissään ja lisäksi Android-laitevalmistajia Google on käytäntönsä mukaisesti tiedottanut ongelmasta vähintään kuukautta etukäteen.

Androidin Järjestelmä-komponentissa piilevä haavoittuvuus on korjattu marraskuun 2025-11-01-tietoturvakorjauspaketissa. Android Open Source Project (AOSP) on julkaissut haavoittuvuuden lähdekoodikorjauksen myös GitHubiin. Haavoittuvuutta ei tiettävästi ole toistaiseksi hyödynnetty etähyökkäyksiin. Jos päivitystä ei ole vielä asennettu puhelimeen, ainoa varma tapa estää haavoittuvuuden mahdollinen hyödyntäminen on kytkeä Wi-Fi- ja Bluetooth-yhteydet pois päältä. Marraskuun tietoturvakorjauspakettia ei ole kuitenkaan vielä saatavilla useisiin puhelimiin, joihin lukeutuu myös osa Googlen omista Pixel-malleista.

Lähde: AOSP, GBHackers