Một lỗ hổng zero-day nghiêm trọng trên Android đang bị khai thác trong các cuộc tấn công có chủ đích, cho phép kẻ tấn công chiếm quyền điều khiển gần như hoàn toàn thiết bị bị ảnh hưởng mà không cần bất kỳ tương tác nào từ người dùng. Lỗ hổng này, được theo dõi dưới mã định danh CVE-2025-48595, đã được Google xác nhận có dấu hiệu khai thác hạn chế trong thực tế và được nêu bật trong Bản tin Bảo mật Android tháng 6 năm 2026.
Chi tiết Lỗ hổng
Vị trí và Loại Lỗ hổng
Lỗ hổng này tồn tại trong thành phần Android Framework và được phân loại là một vấn đề leo thang đặc quyền (Elevation of Privilege – EoP) có độ nghiêm trọng cao. Trong một số điều kiện nhất định, kẻ tấn công có thể khai thác lỗ hổng này từ xa để leo thang đặc quyền mà không cần yêu cầu thêm quyền thực thi nào.
Điều này làm tăng đáng kể hồ sơ rủi ro, vì việc khai thác thành công có thể cho phép kẻ tấn công vượt qua các ranh giới bảo mật cốt lõi và truy cập vào các tài nguyên hệ thống nhạy cảm. Các nhà nghiên cứu bảo mật lưu ý rằng lỗ hổng ảnh hưởng đến các thiết bị chạy phiên bản Android 14, 15, 16 và 16 QPR2.
Tác động và Phương thức Khai thác
Mặc dù được xếp loại là nghiêm trọng, các đặc điểm khai thác của nó, đặc biệt là việc thiếu tương tác người dùng, khiến nó trở nên đặc biệt nguy hiểm trong các chiến dịch tấn công có chủ đích. Trong các tình huống thực tế, các lỗ hổng như vậy thường được kết hợp với các khai thác khác để đạt được việc chiếm quyền kiểm soát hoàn toàn thiết bị, bao gồm cả việc trích xuất dữ liệu, theo dõi và duy trì quyền truy cập.
Google nhấn mạnh rằng các vấn đề nghiêm trọng nhất trong bản tin này có thể dẫn đến việc leo thang đặc quyền từ xa mà không có sự tham gia của người dùng, làm nổi bật tác động tiềm tàng nếu các biện pháp giảm thiểu ở cấp độ nền tảng bị vượt qua.
Mặc dù Android tích hợp nhiều lớp phòng thủ, bao gồm sandboxing, kiểm soát quyền và các biện pháp bảo vệ trong thời gian chạy, những kẻ tấn công tinh vi vẫn có thể khai thác các lỗ hổng này trong các điều kiện cụ thể, đặc biệt là trên các thiết bị chưa được vá lỗi hoặc lỗi thời.
Thông tin về Bản vá và Khuyến nghị
Cập nhật Bảo mật
Google đã thông báo cho các đối tác Android về lỗ hổng này ít nhất một tháng trước khi công khai, cho phép các nhà sản xuất thiết bị (OEM) có thời gian chuẩn bị và phân phối các bản vá. Các bản cập nhật bảo mật có trong mức vá 2026-06-05 đã giải quyết hoàn toàn CVE-2025-48595 và các lỗ hổng liên quan. Bản vá mã nguồn dự kiến sẽ được phát hành cho kho lưu trữ Android Open Source Project (AOSP) ngay sau khi bản tin được công bố.
Vai trò của Google Play Protect
Google Play Protect tiếp tục đóng vai trò quan trọng trong việc giảm thiểu các nỗ lực khai thác. Được kích hoạt mặc định trên các thiết bị có Dịch vụ Di động của Google (Google Mobile Services), nó quét ứng dụng một cách chủ động và cảnh báo người dùng về các ứng dụng có khả năng gây hại.
Tuy nhiên, những người dùng cài đặt ứng dụng từ các nguồn bên thứ ba có nguy cơ cao hơn, vì các kênh này thường bị lạm dụng để phân phối các tải trọng khai thác.
Khuyến nghị Khẩn cấp
Đội ngũ Bảo mật Android đã kêu gọi người dùng và các tổ chức cập nhật thiết bị ngay lập tức lên mức vá bảo mật mới nhất. Việc chậm trễ trong áp dụng các bản vá vẫn là một trong những yếu tố chính cho phép kẻ tấn công vũ khí hóa các lỗ hổng đã biết.
Trường hợp zero-day này nhấn mạnh một xu hướng rộng hơn trong bối cảnh mối đe dọa di động, nơi kẻ tấn công ngày càng nhắm mục tiêu vào các thành phần cốt lõi của hệ điều hành để tối đa hóa tác động. Khi các kỹ thuật khai thác phát triển, việc vá lỗi kịp thời và các biện pháp phòng thủ bảo mật theo lớp vẫn là yếu tố cần thiết để giảm thiểu phơi nhiễm và ngăn chặn việc chiếm quyền điều khiển thiết bị.
Để biết thêm thông tin chi tiết về các lỗ hổng bảo mật Android, vui lòng tham khảo Bản tin Bảo mật Android.
