Kritická zraniteľnosť typu „zero-click“ v Androide umožňuje hackerom prevziať kontrolu nad zariadeniami bez akejkoľvek interakcie používateľa, čo prinútilo spoločnosť Google vydať naliehavé bezpečnostné aktualizácie.
Google vydal kritické bezpečnostné varovanie pre používateľov Androidu po tom, ako objavil závažnú zraniteľnosť typu „zero-click“, ktorá umožňuje útočníkom na diaľku spustiť škodlivý kód bez akejkoľvek interakcie zo strany používateľa.
Táto zraniteľnosť, podrobne opísaná v novembrovom bezpečnostnom bulletine Android Security Bulletin 2025, ovplyvňuje viacero verzií projektu Android Open Source Project (AOSP) a poukazuje na pretrvávajúce problémy so zabezpečením mobilných operačných systémov, ktoré poháňajú miliardy zariadení po celom svete.
Hrozba typu „zero-click“ so závažnými dôsledkami
Zraniteľnosť, evidovaná ako CVE-2025-48593, sa nachádza v systéme Android v komponente System, ktorý je jadrovou súčasťou operačného systému a zodpovedá za správu základných funkcií zariadenia.
Na rozdiel od bežných exploitov, ktoré vyžadujú, aby používateľ klikol na odkaz alebo nainštaloval aplikáciu, túto zraniteľnosť typu „zero-click“ možno využiť potichu – pomocou špeciálne vytvorených sieťových paketov alebo škodlivých aplikácií šírených mimo oficiálnych obchodov s aplikáciami.
Google označil CVE-2025-48593 ako kritickú a varoval, že útočníci môžu získať úplnú kontrolu nad napadnutými zariadeniami.
Úspešné zneužitie môže umožniť krádež dát, nasadenie ransomvéru alebo dokonca premeniť kompromitované smartfóny na uzly v botnetoch, ktoré sa používajú na ďalšie útoky.
Keďže táto zraniteľnosť nevyžaduje žiadnu interakciu používateľa ani žiadne ďalšie oprávnenia, predstavuje jeden z najnebezpečnejších typov hrozieb v oblasti mobilnej bezpečnosti.
Problém bol interné nahlásený pod číslom Android bug ID A-374746961 a už bol opravený vo verziách AOSP 13 až 16.
Zariadenia so staršími verziami Androidu alebo tie, ktoré ešte len čakajú na aktualizácie od výrobcov, však zostávajú ohrozené.
Zraniteľnosť
Podľa analýzy spoločnosti Google pramení exploit z nesprávneho spracovania systémových procesov, čo môže útočníkom umožniť vstrekovanie ľubovoľného kódu počas bežných operácií, ako je spúšťanie aplikácií alebo synchronizácia na pozadí.
Hoci presné technické detaily zatiaľ neboli zverejnené, aby sa predišlo zneužitiu, zraniteľnosť sa podobá na staršie chyby Androidu súvisiace s poškodením pamäte a eskaláciou oprávnení.
November 2025 bulletin obsahuje aj príbuznú zraniteľnosť CVE-2025-48581, ktorá má vysokú závažnosť a predstavuje chybu typu elevation of privilege (EoP) postihujúcu ten istý komponent System.
Aj keď je menej vážna, CVE-2025-48581 by mohla umožniť škodlivým aplikáciám získať neoprávnený prístup k systémovým funkciám po tom, ako získajú počiatočný prístup do zariadenia.
Google zdôraznil, že hoci novšie zariadenia s Androidom 10 a vyššie dostanú aktualizácie over-the-air (OTA), rozdrobenosť Android ekosystému naďalej spomaľuje doručovanie záplat miliónom používateľov.
Zariadenia, ktoré sa spoliehajú na výrobcov alebo mobilných operátorov pri distribúcii aktualizácií, môžu zostať zraniteľné niekoľko mesiacov.
Širší kontext rizika
Objavenie CVE-2025-48593 prichádza v období rastu útokov zameraných na mobilné zariadenia, vrátane tých, ktoré súvisia s štátom podporovaným spywarom zameraným na novinárov, aktivistov a politických predstaviteľov.
Hoci zatiaľ neboli hlásené žiadne prípady aktívneho zneužitia, „zero-click“ charakter tejto chyby ju robí mimoriadne lákavou pre pokročilých útočníkov, ktorí hľadajú skrytý prístup k citlivým údajom.
Modulárny systém aktualizácií Androidu, zavedený na zjednodušenie nasadzovania opráv prostredníctvom služby Google Play, síce zlepšil rýchlosť reakcie pre niektoré zariadenia, no mnohí výrobcovia stále meškajú s integráciou najnovších opráv AOSP, čím ponechávajú používateľov závislých od cyklov aktualizácií jednotlivých značiek.
Schopnosť útočníkov napadnúť zariadenia bez akejkoľvek akcie používateľa predstavuje zmenu paradigmy v oblasti mobilných útokov – už nestačí len vyhýbať sa podozrivým odkazom alebo aplikáciám.
Odporúčané opatrenia
Spoločnosť Google odporúča používateľom Androidu a administrátorom, aby okamžite podnikli kroky na zníženie rizika vyplývajúceho z tejto zraniteľnosti.
Odporúčané opatrenia:
- Nainštalujte najnovšiu záplatu: Aktualizujte zariadenie na úroveň zabezpečenia 2025-11-01 v nastaveniach.
- Zapnite automatické aktualizácie: Povoliť systémové aj Google Play aktualizácie pre rýchlejšie opravy.
- Nevykonávajte „sideloading“ aplikácií: Sťahujte len z dôveryhodných zdrojov, ako je Google Play.
- Používajte Play Protect: Majte ho zapnutý, aby automaticky kontroloval škodlivé aplikácie.
- Vyhýbajte sa rizikovým sieťam: Nepoužívajte nezabezpečené Wi-Fi a sledujte nezvyčajné správanie zariadenia.
- Presadzujte politiky záplatovania: Vyžadujte včasné aktualizácie prostredníctvom nástrojov MDM v podnikových prostrediach.
Dodržiavaním týchto odporúčaní môžu používatelia aj organizácie výrazne znížiť riziko zneužitia zraniteľností typu „zero-click“ a ďalších mobilných hrozieb.
Objavenie tejto chyby podčiarkuje rastúcu sofistikovanosť mobilných útokov a urgentnú potrebu dôslednej správy aktualizácií naprieč Android ekosystémom.
Pravidelná údržba, bezpečné používanie zariadení a včasné aktualizácie sú kľúčom k ochrane osobných aj firemných údajov.
Viac informácií tu:
https://www.esecurityplanet.com/threats/android-zero-click-flaw-lets-hackers-take-over-devices
https://medium.com/meetcyber/7-fast-fixes-for-cve-2025-48593-zero-click-rce-62703666a1d7