وقتی گوگل به کاربران اندروید در مورد آسیبپذیریهای نرمافزاری که میتواند به مهاجمان اجازه سرقت اطلاعات شخصی از گوشیهایشان را بدهد، هشدار میدهد، یعنی اوضاع به اندازه کافی از کنترل خارج شده است. اما وقتی گوگل به ما میگوید که این نقصهای نرمافزاری مورد استفاده هکرها قرار گرفتهاند، اوضاع حتی بدتر هم میشود. بدتر از همه این که این آسیبپذیریها میتوانند بدون هیچگونه تعاملی از سوی کاربر فعال شوند!
خلاصه و نکات کلیدی
- 🔵 گوگل در آخرین بولتن امنیتی خود، یک هشدار فوری برای دو آسیبپذیری خطرناک در سیستمعامل اندروید با کدهای CVE-2025-38352 و CVE-2025-48543 صادر کرده است.
- 🔵 این شرکت تأیید کرده که شواهدی مبنی بر بهرهبرداری فعال و هدفمند از این حفرههای امنیتی وجود دارد.
- 🔵 این آسیبپذیریها میتوانند بدون هیچگونه تعاملی از سوی کاربر فعال شوند و به هکرها اجازه دسترسی به دادههای شخصی و کنترل بخشهای عمیق سیستم را بدهند.
- 🔵 راهحل، نصب فوری آپدیت امنیتی سپتامبر ۲۰۲۵ است. این مقاله نحوه بررسی و نصب آن را توضیح میدهد.
باگ اندروید
این آسیبپذیریها چه هستند و چرا خطرناکاند؟
در بولتن امنیتی ماه سپتامبر اندروید، گوگل دو نقص نرمافزاری را برجسته کرده است. این شرکت میگوید:
“نشانههایی وجود دارد که [این نقصهای سیستمعامل اندروید] ممکن است تحت بهرهبرداری محدود و هدفمند قرار گرفته باشند.”
۱. CVE-2025-38352: آسیبپذیری در هسته (Kernel) اندروید
این آسیبپذیری بر هسته اندروید، یا مغز سیستمعامل، تأثیر میگذارد. یک هکر میتواند از این نقص برای دسترسی به کنترلهای سطح بالاتر استفاده کند که به او اجازه میدهد کنترل بخشهای عمیقتری از سیستم را به دست آورد.
۲. CVE-2025-48543: آسیبپذیری در رانتایم اندروید (ART)
این یک نقص جدی در بخشی از گوشی است که اپلیکیشنها را اجرا میکند و یک اشتباه در مدیریت حافظه است. یک هکر میتواند یک اپلیکیشن مخرب بسازد که از این آسیبپذیری برای به دست آوردن مجوزهای بالاتر از آنچه باید، استفاده کند. در نتیجه، اپلیکیشن مخرب میتواند فرآیندهای سیستمی را کنترل کرده و به دادههای شخصی و اطلاعات کاربری شما مانند رمزهای عبور دسترسی پیدا کند.
موضوع نگرانکننده این است که گوگل میگوید این آسیبپذیریها میتوانند بدون تعامل کاربر مورد بهرهبرداری قرار گیرند. این بدان معناست که شما نیازی به ضربه زدن روی یک لینک خاص، باز کردن یک پیوست یا حتی کلیک کردن روی “اجازه دادن” ندارید. هنگامی که بدافزار روی گوشی شما قرار گرفت، برای موفقیت حمله نیازی به انجام هیچ کاری از سوی شما نیست.
باگ خطرناک اندروید – شهریور ۱۴۰۴
چه کاری باید انجام دهید؟ (راهنمای گام به گام)
گوگل این نقصها را با یک وصله در آپدیت امنیتی سپتامبر ۲۰۲۵ که اخیراً منتشر شده، برطرف کرده است. برای اطمینان از اینکه گوشی اندرویدی شما بهروز شده است، مراحل زیر را دنبال کنید:
- گوشی خود را آپدیت کنید: به مسیر تنظیمات > درباره تلفن > نسخه اندروید > آپدیت امنیتی اندروید ( یا Settings > About Phone > Android version > Android security update) بروید. اگر تاریخ آن ۵ سپتامبر ۲۰۲۵ یا جدیدتر است، این نقص در گوشی شما وصله شده است. در غیر این صورت، فوراً گوشی خود را آپدیت کنید.
- فقط اپلیکیشنهای معتبر را اجرا کنید: از سایدلود کردن (نصب دستی) اپها از فروشگاههای اپلیکیشن شخص ثالث خودداری کنید.
- سپر ایمنی گوگل پلی (Google Play Protect) را فعال نگه دارید تا به شناسایی اپهای مخرب قبل از ایجاد مشکلات جدی کمک کند.
شما ممکن است این آپدیتهای امنیتی ماهانه را جدی نگیرید. اما واقعاً باید هر ماه برای نصب آخرین نسخه وقت بگذارید.
بفرست برای دوستات
source