گوگل در جدیدترین بولتن امنیتی ماه دسامبر خود، از رفع دو آسیبپذیری روز صفر (0-day) با شدت بالا در سیستمعامل اندروید خبر داد که پیش از این بهصورت محدود مورد سوءاستفاده قرار گرفته بودند. این پچهای امنیتی اندروید، علاوه بر این دو باگ حیاتی، شامل اصلاحاتی برای بیش از یکصد (۱۰۵) آسیبپذیری دیگر نیز میشوند که اهمیت بهروزرسانی فوری دستگاههای اندرویدی را دوچندان میکند.
جزئیات آسیبپذیریهای روز صفر اندروید و نحوه سوءاستفاده از آنها
دو آسیبپذیری روز صفر شناسایی شده شامل CVE-2025-48633، یک نقص افشای اطلاعات در مؤلفه فریمورک اندروید، و CVE-2025-48572، یک باگ ارتقاء امتیاز دسترسی که آن هم در فریمورک این سیستمعامل قرار دارد، هستند. هر دو آسیبپذیری از درجه شدت بالا برخوردارند و گوگل تأیید کرده که «ممکن است تحت سوءاستفاده محدود و هدفمند قرار گرفته باشند».
آسیبپذیریهای روز صفر (Zero-Day Vulnerabilities) به نقصهایی گفته میشوند که پیش از آنکه سازنده نرمافزار از وجود آنها مطلع شود یا پچی برایشان منتشر کند، توسط مهاجمان کشف و مورد بهرهبرداری قرار میگیرند. این نوع باگها به دلیل عدم وجود راهحل امنیتی در زمان حمله، بهشدت خطرناک تلقی میشوند. اگرچه گوگل جزئیاتی درباره عاملان و انگیزههای این سوءاستفاده ارائه نکرده است، اما معمولاً بدافزارهای جاسوسی تجاری و مهاجمان تحت حمایت دولتها از این نوع آسیبپذیریهای موبایل برای اهداف نظارتی و جاسوسی بهره میبرند.
اهمیت بهروزرسانی: بیش از ۱۰۰ آسیبپذیری دیگر در اندروید
مجموعاً ۱۰۷ حفره امنیتی در این بسته بهروزرسانی اندروید وجود دارد که نشاندهنده گستردگی تلاشهای تیم امنیتی گوگل برای حفظ ایمنی کاربران است. این عدد بالا شامل آسیبپذیریهای مختلفی از جمله نقصهای افشای اطلاعات، ارتقاء امتیاز، و حملات محرومسازی از سرویس (DoS) میشود که هر یک میتوانند خطرات متعددی برای دادهها و حریم خصوصی کاربران ایجاد کنند. نصب فوری این پچهای امنیتی اندروید برای تمامی کاربران از اهمیت بالایی برخوردار است تا دستگاههایشان در برابر حملات احتمالی محافظت شوند. بهروزرسانیها نه تنها باگهای شناخته شده را برطرف میکنند، بلکه لایههای حفاظتی جدیدی نیز اضافه کرده و مقاومت سیستم را در برابر تهدیدات آتی افزایش میدهند.
واکنش نهادهای امنیتی و سابقه آسیبپذیریهای اندروید و کروم
آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA) در تاریخ سهشنبه، این دو آسیبپذیری روز صفر (CVE-2025-48633 و CVE-2025-48572) را به کاتالوگ آسیبپذیریهای شناخته شده و مورد سوءاستفاده (KEV) خود اضافه کرد. CISA از آژانسهای فدرال خواسته است تا ۲۳ دسامبر دستگاههای خود را بهروزرسانی کنند و به همه سازمانها نیز "به شدت" توصیه کرده است که همین کار را انجام دهند تا "میزان آسیبپذیری خود را در برابر حملات سایبری کاهش دهند".
این کشف و پچ امنیتی اندروید در ادامه یک پچ اضطراری ماه گذشته برای یک باگ با شدت بالا در مرورگر کروم صورت میگیرد که پیش از این نیز مورد سوءاستفاده فعال قرار گرفته بود. آن آسیبپذیری، با شناسه CVE-2025-13223، یک نقص در موتور جاوااسکریپت V8 بود و هفتمین آسیبپذیری روز صفر کروم در سال جاری محسوب میشد که همگی توسط گوگل وصله شدهاند. این روند نشاندهنده مبارزه مداوم میان توسعهدهندگان و مهاجمان سایبری برای شناسایی و رفع آسیبپذیریها است.
آسیبپذیریهای بحرانی دیگر: از هسته تا مؤلفههای کوالکام
علاوه بر آسیبپذیریهای روز صفر، هفت باگ دیگر نیز در ماه دسامبر رتبهبندی "بحرانی" را در سیستمعامل اندروید کسب کردهاند. گوگل اعلام کرده است که جدیترین این موارد، CVE-2025-48631 است که در مؤلفه فریمورک قرار دارد و "میتواند منجر به حملات محرومسازی از سرویس از راه دور بدون نیاز به امتیازات اجرایی اضافی شود".
سایر آسیبپذیریهای بحرانی پچ امنیتی اندروید عبارتند از:
چهار باگ ارتقاء امتیاز بحرانی در هسته (Kernel): CVE-2025-48623، CVE-2025-48624، CVE-2025-48637 و CVE-2025-48638. این موارد میتوانند به مهاجم امکان دهند کنترل بیشتری بر سیستم داشته باشند.
دو آسیبپذیری بحرانی در مؤلفههای کدبسته کوالکام: CVE-2025-47319 و CVE-2025-47372.
CVE-2025-47319 میتواند منجر به "افشای اطلاعات در حین افشای APIهای ارتباطی داخلی TA-to-TA به HLOS" شود.
CVE-2025-47372، یک نقص سرریز بافر (buffer overflow) بحرانی است که هنگام خواندن یک تصویر ELF خراب و با اندازه بیش از حد در یک بافر بدون احراز هویت رخ میدهد.
با توجه به این حجم از آسیبپذیریهای اندروید و خطرات احتمالی آنها، اکیداً توصیه میشود کاربران بلافاصله نسبت به نصب جدیدترین پچهای امنیتی منتشر شده برای دستگاههای خود اقدام کنند. این بهروزرسانیها اولین گام برای محافظت از دادهها و حفظ امنیت سایبری در دنیای دیجیتال امروز هستند.
مطالب مرتبط
- هشت فرودگاه بزرگ هند هدف اختلال GPS قرار گرفتند؛ نگرانیها از امنیت هوایی اوج گرفت
- کسپرسکی امنیت دستگاههای تعبیهشده را با بهروزرسانیهای پیشرفته تقویت میکند
- همایش ملی “هما” چشماندازهای نوین اشتغال هوش مصنوعی و امنیت سایبری را ترسیم میکند
- حادثه امنیتی جدید، دادههای کلیدی برخی از کاربران ChatGPT را به دلیل نقص در سرویس جانبی افشا کرد
