В начале сентября 2025 года была подтверждена серьезная уязвимость в технологии защищенной виртуализации pKVM (protected Kernel-based Virtual Machine) для ядра операционных систем Android. Идентификатор уязвимости в национальном Банке данных уязвимостей - BDU:2025-15122, также ей присвоен идентификатор CVE-2025-48638. Проблема связана с недостаточной проверкой типа входных данных (CWE-1287), что теоретически позволяет злоумышленнику повысить свои привилегии в системе. Данная уязвимость затрагивает все устройства под управлением Android, использующие технологию pKVM.
Детали уязвимости
Технология pKVM является ключевым компонентом безопасности современных устройств Android. По сути, она создает изолированную виртуальную машину для защиты ядра операционной системы от потенциально вредоносного кода. Эта архитектура критически важна для обеспечения целостности системы, особенно в средах с высокими требованиями к безопасности. Обнаруженная ошибка нарушает фундаментальный принцип изоляции, поскольку некорректная обработка определенных входных данных может позволить выйти за границы предназначенной виртуальной среды.
Эксперты оценили угрозу как высококритическую. По шкале CVSS 2.0 базовая оценка составляет 7.2 балла, что соответствует высокому уровню опасности. Однако более современная оценка по CVSS 3.1 присваивает уязвимости 9.3 балла, переводя ее в категорию критических. Столь высокий балл обусловлен комбинацией факторов: для эксплуатации не требуются специальные привилегии (PR:N) или действия пользователя (UI:N), а последствия затрагивают всю систему (S:C), позволяя получить полный контроль (C:H/I:H/A:H). Проще говоря, успешная атака может привести к полной компрометации устройства.
На данный момент информация о наличии активных эксплойтов (эксплуатирующих программ) уточняется. Однако технические детали и высокий рейтинг уязвимости делают ее привлекательной мишенью для продвинутых угроз, таких как APT (Advanced Persistent Threat - комплексная продолжительная угроза). Злоумышленники могут использовать эту уязвимость для получения постоянного доступа (persistence) к устройству, установки вредоносного ПО (malicious software) или кражи конфиденциальных данных. Способы эксплуатации классифицируются как манипулирование ресурсами системы.
Производитель, компания Google, оперативно отреагировал на обнаружение проблемы. Уязвимость уже подтверждена и устранена. Исправления были включены в ежемесячный бюллетень безопасности за декабрь 2025 года. Для устранения риска пользователям и производителям устройств необходимо установить последние обновления безопасности, опубликованные Google. Соответствующие патчи и рекомендации доступны в официальных источниках, включая сайт Android Security Bulletin и репозитории исходного кода ядра.
Корпоративным пользователям и администраторам безопасности рекомендуется ускорить процесс тестирования и развертывания обновлений на всех управляемых устройствах. Особое внимание следует уделить аппаратам, используемым для работы с критически важной информацией. Более того, командам SOC (Security Operations Center - центр мониторинга безопасности) стоит настроить системы обнаружения на поиск потенциальных аномалий, связанных с попытками несанкционированного повышения привилегий в виртуализированных средах.
В долгосрочной перспективе данный инцидент подчеркивает постоянную необходимость тщательного аудита сложных механизмов безопасности, таких как виртуальные машины уровня ядра. Несмотря на то что pKVM была разработана для усиления защиты, даже в таких системах возможны ошибки реализации. Это служит напоминанием для индустрии о важности многоуровневой обороны и своевременного применения исправлений. Таким образом, хотя непосредственная угроза нивелирована патчами, бдительность остается ключевым фактором безопасности экосистемы Android.
Ссылки
- https://bdu.fstec.ru/vul/2025-15122
- https://source.android.com/docs/security/bulletin/2025-12-01
- https://android.googlesource.com/kernel/common/+/0429b7af308cf65c84109c08d06b01950dcd57fe
- https://android.googlesource.com/kernel/common/+/96ebe96170d67df5072afa2ce84622f5a0ff552a
