Android 用戶注意!12 月更新修補百餘漏洞、兩大零日攻擊已在外亂竄
Google 稍早推送 12 月安全更新,除了與 Pixel Drop 一同釋出,也帶來罕見規模的資安修補,總計修補 107 項 Android 生態系漏洞。其中兩項已遭攻擊者利用的零日漏洞,被資安圈視為本月最需優先處理的風險。
據 Google 公布的 2025 年 12 月 Android 資安公告,兩個正在被利用的高風險漏洞分別為:
CVE-2025-48572:系統 Framework 權限提升漏洞,可能讓攻擊者取得不該擁有的系統控制權。
CVE-2025-48633:資訊外洩漏洞,恐導致未經授權的私密資料存取。
Google 也同時修補另一個嚴重漏洞 CVE-2025-48631,攻擊者可在無需使用者操作的情況下遠端讓手機裝置當機。Google 未公布攻擊細節,只以「有限、目標性攻擊」描述現況,顯示威脅仍在擴散前的早期階段。
但情況已足以驚動美國網路安全暨基礎設施安全署(CISA),該機構已將這兩項漏洞列入「必須修補」清單,要求聯邦機構必須在 12 月 23 日前強制更新。
儘管修補已推出,但在 Android 生態系中,更新能否及時送達到各裝置仍取決於品牌與電信商的審核速度。相比蘋果能在 iOS 上快速推送安全更新,Android 的碎片化問題再次浮上檯面,Pixel 裝置可立即取得更新,但三星、Motorola 等品牌可能需等上數日甚至數週。
資安專家提醒,由於零日攻擊通常會在曝光後加速擴散,使用者應主動前往設定檢查更新,而非等待推播通知。
在攻擊已經發生的情況下,此次安全更新對所有 Android 使用者都屬高優先順序。若仍未取得更新,建議在此期間更加留意敏感行為,例如銀行 App 的異常活動,並避免在不明 Wi-Fi 或不可信環境下執行重要操作。
(首圖來源:Google 官方部落格)