آپدیت اندروید ژوئن گوگل یک آسیبپذیری افزایش سطح دسترسی بدون نیاز به کلیک را که فعالانه مورد سوءاستفاده قرار میگیرد، وصله میکند
بولتن امنیتی اندروید ژوئن ۲۰۲۶ گوگل، CVE‑2025‑48595 را وصله میکند؛ یک حفره بحرانی افزایش سطح دسترسی بدون نیاز به کلیک در Android Framework که شرکت تأیید کرده است در حملات هدفمند مورد سوءاستفاده قرار میگیرد. آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) این آسیبپذیری را به کاتالوگ آسیبپذیریهای مورد سوءاستفاده شناختهشده (KEV) خود افزوده است که نزدیکترین معادل یک دستورالعمل رسمی «فوراً وصله کنید» از سوی مقامات امنیت سایبری فدرال به شمار میرود.
بدون نیاز به کلیک یعنی هیچ تعامل کاربری لازم نیست. مهاجم نیازی ندارد قربانی را فریب دهد تا پیوندی را باز کند، برنامهای نصب کند یا مجوزی اعطا کند. ترکیب این قابلیت با افزایش سطح دسترسی — یعنی امکان ارتقاء به دسترسی سطح سیستم — این دسته از آسیبپذیری را به یکی از خطرناکترینها در امنیت موبایل تبدیل میکند. نتیجه عملی این است که یک دستگاه هدفمند میتواند بدون آنکه مالک آن اقدامی انجام دهد که نشاندهنده حمله باشد، به خطر بیفتد.
چه چیزی تحت تأثیر قرار گرفته است
CVE‑2025‑48595 دستگاههای دارای اندروید ۱۴، ۱۵، ۱۶ و ۱۶ QPR2 را تحت تأثیر قرار میدهد. بولتن امنیتی ژوئن ۲۰۲۶ که در ۱ ژوئن منتشر و در ۳ ژوئن بهروزرسانی شد، مجموعاً به ۱۲۴ آسیبپذیری در اجزای Framework، سیستم و هسته اندروید رسیدگی میکند. سطح وصله امنیتی ۲۰۲۶‑۰۶‑۰۵ یا بالاتر تمام مسائل گزارششده در این بولتن را برطرف میکند.
کاربران میتوانند سطح وصله خود را با رفتن به تنظیمات → درباره تلفن → نسخه اندروید → سطح وصله امنیتی بررسی کنند. در دستگاههایی که بهروزرسانیهای امنیتی ماهانه اندروید را مستقیماً از گوگل دریافت میکنند — تلفنهای Pixel و برخی پرچمداران سامسونگ Galaxy — این بهروزرسانی اکنون در حال انتشار است. دستگاههای سایر تولیدکنندگان بسته به برنامههای بهروزرسانی اپراتور و OEM ممکن است چند هفته طولانیتر زمان ببرند.
معنای فهرست شدن CISA در KEV چیست
کاتالوگ آسیبپذیریهای مورد سوءاستفاده شناختهشده CISA یک فهرست اصلاحی اجباری برای آژانسهای فدرال ایالات متحده با مهلتهای الزامآور برای وصله کردن است. وقتی CISA یک آسیبپذیری را به کاتالوگ KEV اضافه میکند، به این معناست که آژانس سوءاستفاده واقعی در دنیای واقعی را تأیید کرده است — نه خطر تئوریک — با سطح اطمینان کافی برای اعمال مهلتهای وصله فدرال.
برای سازمانهای غیرنظامی، فهرست شدن CISA در KEV عملاً یک توصیه با اولویت بالا است: این آسیبپذیری فعالانه سلاحی میشود. زبان افشای خود گوگل — «سوءاستفاده محدود و هدفمند» — نشان میدهد که این هنوز یک کمپین سوءاستفاده گسترده نیست، بلکه حملاتی است که احتمالاً به اپراتورهای جاسوسافزار تجاری یا بازیگران دولتی مرتبط است که بهطور معمول آسیبپذیریهای بدون نیاز به کلیک موبایل را برای نظارت هدفمند به دست میآورند یا کشف میکنند.
بدون راهکار جایگزین: بهروزرسانی تنها راه حل است
هیچ تغییر پیکربندی یا کاهش خطر از سوی کاربر وجود ندارد که این آسیبپذیری را ببندد. مؤلفه Android Framework که حفره در آن قرار دارد بدون شکستن عملکرد اصلی سیستم قابل ایزوله یا غیرفعال کردن نیست. تنها محافظت اعمال وصله امنیتی ژوئن ۲۰۲۶ است.
کاربرانی که نمیتوانند فوراً بهروزرسانی کنند — زیرا تولیدکننده دستگاه هنوز وصله را عرضه نکرده است — باید بدانند که این یک سناریوی سوءاستفاده فعال است، نه یک خطر آینده تئوریک. افرادی که اهداف نظارتی با ارزش بالا هستند (روزنامهنگاران، مدیران اجرایی، فعالان، مقامات دولتی) بیشترین خطر را از این دسته از سوءاستفادههای هدفمند بدون نیاز به کلیک متحمل میشوند، زیرا این حملات معمولاً برای استقرار گران هستند و بهجای بیتمایز، جهتدار هستند.
بولتن ژوئن همچنین CVE‑2026‑28577، یک حفره افزایش سطح دسترسی از طریق tapjacking، و چندین مسئله با شدت بالا دیگر را در اجزای هسته و رسانه وصله میکند. هر دستگاه اندرویدی که میتواند وصله ژوئن ۲۰۲۶ را دریافت کند، باید به محض در دسترس بودن از سوی تولیدکننده این کار را انجام دهد.
Originally reported by The Hacker News. Read the original article for additional details.
View original source