В декабрьском бюллетене безопасности Android за 2025 год подтверждена новая серьёзная уязвимость в ядре операционной системы. Ошибка, получившая идентификатор CVE-2025-48624, связана с модулем драйвера поддержки IOMMU (англ. Input-Output Memory Management Unit, модуль управления памятью ввода-вывода) для виртуализации в среде защищённого ядра (pKVM). Уязвимость классифицируется как недостаточная проверка входных данных (CWE-20) при обработке идентификаторов потоков (SID). Эксплуатация этой уязвимости потенциально позволяет злоумышленнику, имеющему локальный доступ к устройству, повысить свои привилегии в системе до уровня суперпользователя (root).
Детали уязвимости
Уязвимость затрагивает компонент "arm-smmu-v3.c" в драйвере "arm-smmu-v3/pkvm". Функция IOMMU критически важна для изоляции памяти и управления доступом периферийных устройств. Конкретно, ошибка возникает на этапе проверки передаваемых идентификаторов SID. Из-за недостаточной валидации злоумышленник может манипулировать этими данными, что в итоге приводит к повреждению памяти или обходу механизмов защиты. Следовательно, это открывает путь для выполнения произвольного кода с высочайшими привилегиями ядра.
Уровень опасности уязвимости оценивается как критический. Базовая оценка по шкале CVSS 3.1 достигает 9.3 баллов. Вектор атаки (AV) определён как локальный (L), что означает необходимость физического доступа к устройству или выполнения кода от имени пользователя с низкими привилегиями. При этом не требуется ни аутентификация (PR:N), ни взаимодействие с пользователем (UI:N). Наиболее серьёзным является влияние на конфиденциальность (C:H), целостность (I:H) и доступность (A:H) системы, так как атака затрагивает весь её scope (S:C).
Производитель, компания Google, уже подтвердил наличие уязвимости и выпустил исправления. Патч был внедрён в исходный код ядра Android. Соответствующий коммит доступен в репозитории проекта AOSP (Android Open Source Project). Пользователям и производителям устройств настоятельно рекомендуется как можно скорее применять обновления безопасности, опубликованные в бюллетене от 1 декабря 2025 года. Несвоевременная установка патчей оставляет устройства под управлением Android под угрозой локального повышения привилегий.
На текущий момент информация о наличии активных эксплойтов, использующих CVE-2025-48624, уточняется. Однако высокая степень критичности и относительная простота эксплуатации через манипулирование ресурсами делают эту уязвимость привлекательной мишенью для исследователей безопасности и потенциальных злоумышленников. Обычно подобные уязвимости в ядре могут входить в цепочки эксплуатации для полного захвата контроля над устройством.
Для устранения угрозы необходимо обновление программного обеспечения. Конечным пользователям следует ожидать и устанавливать ежемесячные обновления безопасности (Security Patch Level) от производителей своих смартфонов и планшетов. Производителям устройств и разработчикам кастомных прошивок необходимо интегрировать исправление из официальных источников Google в свои сборки. Таким образом, своевременное распространение патчей по всей экосистеме Android остаётся ключевым фактором безопасности.
Обнаружение данной уязвимости подчёркивает постоянную важность аудита безопасности низкоуровневых компонентов ядра, особенно тех, что отвечают за виртуализацию и изоляцию. Модуль pKVM, в котором была найдена ошибка, является частью современных усилий по усилению защиты Android. Тем не менее, даже в таких критически важных компонентах возможны ошибки валидации входных данных. Это очередной раз демонстрирует необходимость многослойной защиты и оперативного реагирования на инциденты.
В целом, ситуация с CVE-2025-48624 находится под контролем разработчика, так как исправление уже выпущено. Главная задача сейчас - обеспечить его максимально широкое и быстрое распространение среди всех устройств под управлением Android. Пользователям рекомендуется проверять настройки обновления системы и не игнорировать уведомления о доступности обновлений безопасности. Это простое действие остаётся одним из самых эффективных способов защиты от подобных уязвимостей, угрожающих правами суперпользователя.
