事件概述
2026年6月2日,Google发布了6月份Android安全公告,一次性修复了124个安全漏洞。其中最引人注目的是一个已被在野利用的零日漏洞——CVE-2025-48595,CVSS评分8.4(高危),攻击者无需任何用户交互即可完成权限提升。
该漏洞的发现和公开,再次将移动设备安全管理推到了企业IT管理员面前。对于依赖MDM管理成百上千台公司手机的中小企业网管来说,这不是一个可以"过几天再处理"的问题。
漏洞技术细节
CVE-2025-48595存在于Android Framework框架层,根本原因是整数溢出(Integer Overflow)。根据CVE官方描述,该漏洞使得攻击者在无需任何用户交互、无需额外执行权限的条件下,即可在受影响的设备上实现代码执行。
通常情况下,此类漏洞会与远程代码执行漏洞形成攻击链:RCE漏洞提供初始访问入口,CVE-2025-48595则将受限的沙箱进程权限提升至完整的系统控制权。攻击者一旦获得系统级权限,便能够:
- 读取设备上的私人数据(通讯录、短信、文件)
- 安装持久化恶意软件,难以被用户察觉
- 拦截网络通信内容
- 修改系统配置,关闭安全防护机制
整个过程对用户完全无感知——没有任何弹窗、没有任何权限请求提示。这就是"零用户交互"漏洞的危险所在。
影响范围有多大?
| 受影响版本 | 覆盖设备 | 修复补丁级别 |
|---|---|---|
| Android 14 | 大量存量设备 | 2026-06-01 |
| Android 15 | 主流在用版本 | 2026-06-01 |
| Android 16 | 最新版本 | 2026-06-01 |
| Android 16 QPR2 | 季度平台版本 | 2026-06-05 |
这意味着,几乎所有运行Android 14/15/16的在网设备都在攻击面之内。考虑到Android设备在中小企业中的普及率——快递员的手持终端、销售人员的办公手机、仓库管理的扫描设备,影响规模不容小觑。
在野利用:商业间谍软件的影子
Google已确认CVE-2025-48595正在被"有限的、有针对性的利用"。虽然没有公开具体的攻击者信息,但根据历史规律,这类零交互提权漏洞的利用者高度符合商业间谍软件供应商(Commercial Surveillance Vendors)的操作特征。典型的被攻击目标包括:
- 企业高管和管理层人员
- 新闻记者和媒体从业者
- 法务、合规等敏感岗位人员
- 政府机构工作人员
对于中小企业来说,高管的手机往往是安全防护链条中最薄弱的一环。很多企业的MDM策略只覆盖了普通员工的设备,而高管因为"使用习惯"等原因经常游离在管理策略之外。
除了零日漏洞,还有123个漏洞
此次6月安全公告还修复了Framework、System、Kernel、以及MediaTek、Qualcomm、Unisoc等多个芯片组组件中的漏洞,涵盖远程代码执行、信息泄露、拒绝服务等多种类型。其中内核和芯片组层面的修复包含在2026-06-05补丁级别中,需要设备厂商另行适配推送。
这也意味着,仅仅安装6月1日的Android Framework更新并不足够——完整的保护需要设备OEM厂商(三星、小米、OPPO/vivo等)将6月5日级别的内核补丁一并整合推送。
企业IT管理员应对指南
对于使用MDM管理公司Android设备的企业,建议立即采取以下措施:
- 立即排查公司Android设备清单:统计Android 14/15/16设备的数量和使用场景,特别关注高管和敏感岗位人员使用的设备。
- 通过MDM平台强制推送安全更新:将最低安全补丁级别要求设置为2026-06-01,并标记未达标设备为不合规。
- 关注OEM厂商补丁发布时间表:三星、小米等厂商通常需要数周才能推送包含内核修复的完整补丁。在此期间,可通过MDM限制不合规设备访问公司内部敏感资源。
- 特别关注已停止更新的旧设备:部分Android 14设备的厂商支持周期可能已结束,这类设备将永久无法修复此漏洞,应当逐步替换。
- 审查MDM管理范围:确认公司高管的设备是否纳入了统一管理策略。高管设备往往是间谍软件攻击的首要目标。
写在最后
CVE-2025-48595的披露再次印证了一个事实:移动设备安全已经不再是"可选项"。当智能手机承载了企业的邮件、即时通讯、文档处理乃至ERP审批等核心业务功能时,一台未打补丁的手机就可能成为整个企业网络安全的突破口。
对于专职或兼职的IT管理员来说,每月关注Android和iOS的安全公告、及时通过MDM推送更新、定期审计设备合规状态,这些看似基础的工作,恰恰是防止"小设备引发大事故"的最有效手段。
如果您在移动设备安全管理方面遇到困难,欢迎通过我们的留言板或联系方式与我们沟通,我们将提供专业的技术支持和建议。