Googlen marraskuun 2025 Android-tietoturvakorjaukset sisältävät kriittiseksi määritellyn korjauksen CVE-2025-48593-tunnisteella merkittyyn haavoittuvuuteen.

Korjaus Androidin järjestelmäkomponentista löytyvälle haavoittuvuudelle on julkaistu neljälle viimeisimmälle Android-versiolle (13, 14, 15 ja 16).

Kyse on erittäin vakavasta haavoittuvuudesta, joka mahdollistaa hyökkääjälle haluamansa koodin ajamisen järjestelmässä yhteyden muodostamisen jälkeen. Haavoittuvuuden ikävyyttä lisää se, ettei sen hyväksikäyttö vaadi korotettuja käyttöoikeuksia eikä myöskään laitteen käyttäjältä toimia, kuten esimerkiksi tiedoston lataamista tai avaamista, vaan hyökkäys onnistuu taustalla jopa täysin huomaamatta ja tarjoaa tämän jälkeen hyökkääjälle käytännössä vapaan pääsyn tietojen varastamiseen ja laitteen hallitsemiseen.

Haavoittuvuus koskee laajasti eri valmistajien Android-laitteita edellä mainituilla Android-versioilla, jollei niitä ole päivitetty marraskuun 2025 tietoturvakorjauksilla.

Google on ilmoittanut haavoittuvuudesta Android-laitevalmistajille ainakin kuukautta ennen nyt marraskuussa julkaistua julkista tietoa. Android-laitteissa tietoturvapäivitysten jakelu on kuitenkin laitevalmistajien vastuulla, ja korjauksen saatavuus haavoittuvuuteen voi vaihdella.

Haavoittuvuudelta suojautumiseksi Google on suositellut päivitysten asentamista välittömästi. Suojan saamiseksi vakavalta haavoittuvuudelta kannattaakin nyt suunnata Android-laitteensa asetuksiin varmistamaan päivitysten ajantasaisuus (Androidin tietoturvapäivitys vähintään 1. marraskuuta 2025) tai asentamaan viimeisimmät päivitykset, jos sellaisia on saatavilla.

Kaikille laitteille päivityksiä ei ole vielä julkaistu, joten päivityksen saataville tuloa voi joutua vielä odottamaan jonkin aikaa.

Ennen haavoittuvuuden korjaamista siltä suojautumista voi auttaa oletuksena Android-laitteissa päällä oleva Google Play Protect -palvelu. Google tarjoaa verkkosivuillaan ohjeet, joiden avulla voi varmistaa Play Protectin olevan käytössä.

Lisäksi hyökkäysten tapahtuessa Wi-Fin ja Bluetoothin kautta, näiden yhteyksien kytkemisen pois päältä pitäisi estää hyökkäysmahdollisuus.

Tiettävästi haavoittuvuutta ei ole vielä käytetty hyväksi hyökkäyksissä.