В Google закрыли критические уязвимости в Android, две уже фигурируют в атаках

Компания Google представила сентябрьский пакет исправлений безопасности для операционной системы Android, который устраняет 84 обнаруженные уязвимости в различных компонентах ОС и 27 дефектов в продуктах Qualcomm. В числе исправленных проблем значатся две критические уязвимости, подвергшие устройства реальным атакам. Обновление предназначено для устройств, работающих под управлением Android версии 13 и выше, сообщает издание BleepingComputer.

В частности, обновление включает в себя исправления для четырёх уязвимостей критического уровня опасности. Одна из них, идентифицированная как CVE-2025-48539, предоставляет злоумышленнику, находящемуся в зоне действия Wi-Fi или Bluetooth, возможность выполнить произвольный код на устройстве без какого-либо взаимодействия с пользователем.

Антон Немкин, член комитета Госдумы по информационной политике, информационным технологиям и связи, а также федеральный координатор партийного проекта «Цифровая Россия», выразил обеспокоенность тем, что устранение более ста уязвимостей, включая критические, уже использованные злоумышленниками, свидетельствует о недостаточной эффективности превентивных мер защиты экосистемы Android со стороны Google. По его словам, компания фактически допускает, чтобы угрозы оставались не выявленными до момента их массового обнаружения и фиксации в реальных атаках.

Депутат особо подчеркнул тревожность уязвимости CVE-2025-48539, позволяющей осуществить взлом устройства через Wi-Fi или Bluetooth без участия пользователя. Он отметил, что факт существования таких брешей до момента их эксплуатации является прямым подтверждением слабого контроля за безопасностью и недостаточного внимания к аудиту кода. По его мнению, для корпорации уровня Google подобные недочеты являются неприемлемыми.

Немкин также обратил внимание на то, что модель распространения обновлений Android усугубляет ситуацию. Даже после выпуска патча производителями смартфонов и операторами связи его внедрение происходит с задержкой, в результате чего пользователи остаются с уязвимыми устройствами на протяжении недель и месяцев, создавая для злоумышленников обширное поле для деятельности. Он подчеркнул, что Google осведомлена об этой проблеме, однако системное решение до сих пор не предложено.

Парламентарий заключил, что в сложившихся обстоятельствах заявления компании о приоритете безопасности звучат неубедительно. Он призвал Google пересмотреть архитектуру обновлений и ввести более строгие стандарты для производителей, подчеркнув, что до тех пор миллионы пользователей Android будут оставаться под угрозой, а каждое новое обновление будет лишь временным решением по устранению проблем, которые не должны были возникнуть в таком масштабе.