Android Security Bulletin – grudzień 2025: krytyczne luki w Framework i kernelu, 2 exploity „in the wild” - Security Bez Tabu

Android Security Bulletin – grudzień 2025: krytyczne luki w Framework i kernelu, 2 exploity „in the wild”

Wprowadzenie do problemu / definicja luki

Google opublikował Android Security Bulletin (ASB) – grudzień 2025. Najnowsze poprawki bezpieczeństwa mają dwa poziomy: 2025-12-01 oraz 2025-12-05. Najpoważniejsza usterka to krytyczny DoS w komponencie Framework (zdalny atak bez uprawnień), a w sekcji Kernel pojawiają się krytyczne EoP (m.in. pKVM, IOMMU). Google potwierdza też dwie luki wykorzystywane celowo (limited, targeted exploitation).

W skrócie

  • Poziomy poprawek: 2025-12-01 i 2025-12-05 (drugi obejmuje wszystkie wcześniejsze).
  • Najpoważniejsze błędy:
    • Framework: zdalny DoS (CVE-2025-48631) + liczne EoP/ID/DoS (wysoka ważność).
    • Kernel: kilka krytycznych EoP (pKVM, IOMMU).
  • Eksploatowane w praktyce: CVE-2025-48633 (ID w Framework) i CVE-2025-48572 (EoP w Framework).
  • Project Mainline (GPSU): w tym miesiącu brak poprawek bezpieczeństwa.

Kontekst / historia / powiązania

ASB dostarcza bazowe łatki dla całego ekosystemu Android, a producenci SoC i OEM-i publikują uzupełniające biuletyny (np. Pixel, Samsung, Qualcomm). Grudzień to jeden z kwartalnych „większych” dropów, kiedy część zmian trafia także do AOSP w 24–48 h po wydaniu.

Analiza techniczna / szczegóły luki

Framework (poziom 2025-12-01)

  • CVE-2025-48631 (DoS, Critical) – zdalne wywołanie awarii bez dodatkowych uprawnień.
  • Szereg EoP (np. CVE-2025-48572), ID (np. CVE-2025-48633) i DoS o wysokiej ważności, obejmujących Android 13–16.
  • Dwie pozycje (CVE-2025-48633, CVE-2025-48572) oznaczone jako wykorzystywane w ograniczonych, ukierunkowanych kampaniach.

System (poziom 2025-12-01)

  • Dominują EoP i ID o wysokiej ważności (m.in. historyczne CVE-2023-40130 utrzymywane w matrycy poprawek).

Kernel (poziom 2025-12-05)

  • Krytyczne EoP w pKVM (CVE-2025-48623, -48637, -48638) oraz IOMMU (CVE-2025-48624).
  • Dodatkowo EoP/ID o wysokiej ważności w subsystemach sieciowych, epoll i KVM.
  • Zaktualizowano także LTS 5.4 → min. 5.4.292 (zależnie od wersji startowej urządzenia).

Komponenty dostawców

  • Arm (Mali) i Imagination (PowerVR) – kilka podatności High.
  • MediaTek/Unisoc – liczne problemy głównie w Modem/IMS/Preloader (High).
  • Qualcomm (w tym closed-source) – pozycje High i Critical (m.in. kernel/bootloader).

Praktyczne konsekwencje / ryzyko

  • Atak zdalny (DoS) na Framework może powodować zawieszanie/wyłączenie usług i potencjalne okna dla dalszych wektorów.
  • Krytyczne EoP w kernelu (pKVM/IOMMU) to eskalacja uprawnień i izolacja VM zagrożona — istotne w kontekście work-profile/COPE i MDM.
  • Modemy (MediaTek/Unisoc): ryzyko przechwycenia/zakłócenia komunikacji lub RCE/EoP w warstwie baseband przy specyficznych bodźcach radiowych.
  • Dwie luki „in the wild” wymagają pilnego wdrożenia poprawek na urządzeniach wysokiego ryzyka (VIP, dziennikarze, sektor publiczny).

Rekomendacje operacyjne / co zrobić teraz

  1. Cel wdrożenia: patch level 2025-12-05 (zawiera kompletny zestaw). W MDM ustaw politykę „minimum patch level = 2025-12-05”.
  2. Pixel/Samsung i inni OEM: monitoruj biuletyny producentów; dla Samsunga grudniowy SMR Dec-2025 agreguje łatki Google + SVE.
  3. Priorytetyzacja floty:
    • Najpierw urządzenia z Android 15–16 używane do pracy z danymi wrażliwymi.
    • Następnie terminale z SoC MediaTek/Unisoc (ze względu na modem).
  4. Hardening tymczasowy (do czasu patcha):
    • Ogranicz uprawnienia i Background Activity Launch dla aplikacji o podwyższonym ryzyku.
    • W MDM włącz blokadę instalacji spoza Play i Play Protect skanowanie na żądanie.
    • W sieci mobilnej wymuś DNS filtrujący i tunnel split minimalny dla urządzeń z dostępem zdalnym/VPN.
  5. Detekcja/IR:
    • Koreluj crash-loop/ANR usług z nietypowym ruchem sieciowym (DoS w Framework może być symptomem rekonesansu).
    • Poluj na wskaźniki naruszeń izolacji VM/KVM (np. nietypowe błędy vCPU, logi pKVM).

Różnice / porównania z innymi przypadkami

  • Względem biuletynów z XI 2025 r., grudzień akcentuje kernel (pKVM/IOMMU) oraz większą liczbę poprawek dostawców SoC/GPU.
  • W odróżnieniu od części poprzednich miesięcy, Project Mainline w grudniu nie wnosi osobnych łatek bezpieczeństwa (tylko platforma/OEM).

Podsumowanie / kluczowe wnioski

  • Instaluj 2025-12-05 ASAP — pełne pokrycie luk, w tym krytyczne EoP w kernelu.
  • Zarządzaj ryzykiem do czasu aktualizacji: twarde polityki MDM, ograniczenia uprawnień, monitoring anomalii.
  • Śledź biuletyny OEM/SoC — część poprawek (Qualcomm/MediaTek/Unisoc/Arm/Imagination) jest publikowana poza AOSP.

Źródła / bibliografia

  1. Android Security Bulletin — December 2025 (AOSP), publikacja 1 grudnia 2025 r. (Android Open Source Project)
  2. Android Security Bulletins – Overview (AOSP): cykl wydawniczy, dostępność łatek w AOSP. (Android Open Source Project)
  3. Samsung Mobile SMR – Firmware Updates (Dec-2025): agregacja poprawek Google + SVE. (Samsung Mobile Security)