Google опубликовала сентябрьский пакет обновлений безопасности Android, закрыв 120 уязвимостей в системе и компонентах экосистемы. Компания подтверждает, что как минимум две из них — CVE-2025-38352 (повышение привилегий в Linux Kernel) и CVE-2025-48543 (повышение привилегий в Android Runtime) — уже применялись в ограниченных целевых атаках, не требующих участия пользователя.
Что исправлено: фокус на 0‑day и критические RCE
CVE-2025-38352 затрагивает ядро Linux: это состояние гонки в POSIX CPU‑таймерах, которое приводит к сбоям в очистке задач и дестабилизации ядра. Уязвимость обнаружена 22 июля 2025 года и устранена в ветках ядра начиная с 6.12.35-1. Потенциальные последствия — отказ в обслуживании, падения системы и эскалация привилегий.
CVE-2025-48543 относится к Android Runtime — среде исполнения Java/Kotlin‑приложений и системных сервисов. По оценке Google, баг может позволить обойти песочницу и получить доступ к системным возможностям более высокого уровня, что критично для моделей угроз с установкой вредоносных приложений.
Ключевые CVE: векторы угроз и потенциальное влияние
CVE-2025-48539: удаленное выполнение кода без кликов
Особое внимание заслуживает CVE-2025-48539 — уязвимость RCE в системном компоненте Android. Она позволяет злоумышленнику в непосредственной сетевой или физической близости (например, в зоне действия Wi‑Fi или Bluetooth) выполнить произвольный код без участия пользователя и без предварительных привилегий. Подобные векторы традиционно рассматриваются как приоритетные к исправлению из‑за возможности червеобразного распространения в локальных средах.
Qualcomm: GPS, сетевые стеки и процессор вызовов
В числе критических исправлений для проприетарных компонентов Qualcomm — CVE-2025-21450 (система управления GPS), CVE-2025-21483 (проблемы в сетевых стэках) и CVE-2025-27034 (ошибка в процессоре многорежимных вызовов). Такие дефекты часто влияют на геолокацию, обработку трафика и телефонию, что увеличивает риск неавторизованного доступа к данным, нарушения конфиденциальности и устойчивости связи на уровне модемных подсистем.
Патч‑уровни 2025‑09‑01 и 2025‑09‑05: как читать и применять
Google традиционно публикует два уровня исправлений — 2025‑09‑01 и 2025‑09‑05. Первый консолидирует патчи для общесистемных компонентов Android, второй включает дополнительные обновления для драйверов и проприетарных частей (например, Qualcomm). OEM-производители используют эту схему, чтобы быстрее выпускать частичные обновления, не дожидаясь полной интеграции всех патчей.
Риски для пользователей и организаций
Отсутствие необходимости во взаимодействии пользователя при эксплуатации части уязвимостей (0‑click) повышает риск для устройств, работающих в публичных сетях или с постоянно активными интерфейсами Bluetooth/Wi‑Fi. Для корпоративных парков устройств критично своевременное внедрение патчей, поскольку эскалация привилегий и RCE могут привести к компрометации EMM/MDM‑профилей, утечке данных и горизонтальному перемещению внутри сети.
Рекомендации по защите
Что делать сейчас:
- Проверить обновления и установить сентябрьский патч до уровня 2025‑09‑05 (при наличии у OEM).
- До обновления ограничить видимость устройств по Bluetooth и Wi‑Fi, отключить ненужные радиоинтерфейсы.
- Избегать установки APK из непроверенных источников, усилить контроль разрешений приложений.
- В компаниях — принудительно раскатить патчи через MDM/EMM, применить политику блокировки sideloading и активировать Google Play Protect.
- Мониторить журналы на предмет сбоев ядра и аномалий в работе системных сервисов (индикаторы возможной эксплуатации).
Сентябрьский релиз подтверждает устойчивый тренд: мобильные платформы остаются приоритетной целью для точечных атак с нулевым днем. Своевременное обновление, минимизация поверхности атаки и дисциплина в управлении приложениями — ключевые шаги для снижения риска. Рекомендуется регулярно отслеживать Android Security Bulletin и бюллетени вендоров (включая Qualcomm) и оперативно внедрять исправления по мере их выхода.
