Google рекомендует не откладывать установку июньского обновления безопасности Android за 2026 год. Причина — в него вошла уязвимость Framework, которую компания уже связывает с ограниченной целевой эксплуатацией.
Речь идет о CVE-2025-48595. По данным Google, есть признаки того, что уязвимость могла использоваться в ограниченных целевых атаках. Технические детали, сведения о целях атак и цепочке эксплуатации компания не раскрывает.
Важно правильно трактовать эту формулировку. Она не говорит о массовых атаках на всю экосистему Android. Она говорит о другом: как минимум одна уязвимость Android уже перешла из категории теоретического риска в категорию реально используемых инструментов.
Что изменилось в июньском бюллетене безопасности#
Google выпустила июньский пакет обновлений Android 2026 года, закрывающий 124 уязвимости. Наиболее заметная из них — CVE-2025-48595, уязвимость высокой степени опасности в Android Framework, затрагивающая устройства под управлением Android 14 и новее.
Согласно данным бюллетеня, на которые ссылается BleepingComputer, локальный атакующий мог использовать ошибку для выполнения кода и повышения привилегий. При этом формулировка Google указывает именно на ограниченную целевую эксплуатацию, а не на широкомасштабные атаки.
Обновление также устраняет 18 критических уязвимостей в компонентах System, Framework и закрытых компонентах Qualcomm. Некоторые из них могут приводить к отказу в обслуживании или повышению привилегий на необновленных устройствах.
Отдельно выделяется одна критическая проблема в Framework. По данным Google, она может привести к удаленному повышению привилегий без дополнительных прав на выполнение кода и без каких-либо действий со стороны пользователя. Это не означает, что для нее уже существует публичная эксплуатация. Но риск отложенного обновления здесь выше обычного.
Почему это важно с точки зрения риска#
Обновления Android распространяются не по единой схеме. Устройства Pixel обычно получают исправления безопасности быстро. Остальные производители зависят от собственных циклов тестирования, аппаратных модификаций, процедур операторов связи и политики поддержки.
Именно эта задержка создает практический риск. Бюллетень безопасности уже опубликован, а значительная часть Android-устройств еще остается без исправлений. Для обычного пользователя главный вопрос прост: установлен ли на устройстве уровень безопасности Android за июнь 2026 года.
Для специалистов по безопасности вопрос шире. Какие Android-устройства используются в организации, какие производители контролируют процесс обновления и какие модели уже перестали получать исправления вовремя?
История с CVE-2025-48595 также напоминает: мобильные риски не ограничиваются подозрительными приложениями. Ошибки в Framework и системных компонентах могут быть опасны даже при осторожном поведении пользователя. Хорошие привычки снижают риск, но не заменяют обновления платформы.
Что проверить#
Начните с проверки уровня безопасности Android. На большинстве устройств он отображается в разделе «Настройки», обычно рядом с пунктами «О телефоне», «Сведения о ПО» или «Обновление безопасности».
Для корпоративных и управляемых парков устройств:
- проверьте устройства с Android 14 и новее;
- обновите Pixel, если для них уже доступен июньский патч;
- проконтролируйте не-Pixel устройства, которые все еще ожидают сборки от производителя;
- проведите аудит моделей, которые считаются поддерживаемыми, но остаются на старых уровнях безопасности;
- отдельно проверьте устройства пользователей с повышенным риском: сотрудников, работающих с финансами, административным доступом, деловыми поездками или конфиденциальной коммуникацией.
Командам безопасности стоит рассматривать июньский бюллетень не только как запись о CVE, а как задачу по инвентаризации и обновлению устройств. CVE-2025-48595 — важный индикатор приоритета, но пакет содержит множество других исправлений, значимость которых зависит от конкретного чипсета и модели устройства.
Это также удобный момент для сравнения производителей. Устройство, которое получает обновления с задержкой во время периода активной эксплуатации уязвимостей, имеет другую операционную ценность по сравнению с устройством, получающим исправления быстро и предсказуемо.
Чего не стоит утверждать#
Источник не сообщает, кто именно эксплуатирует CVE-2025-48595. В нем нет информации о целях атак. Не опубликован эксплойт-код. Также нет доказательств масштабных атак на обычных пользователей Android.
Ранее Android zero-day уязвимости использовались коммерческими поставщиками шпионского ПО и структурами, связанными с государствами. Но это лишь исторический контекст, а не подтверждение для данного случая. Более осторожный вывод выглядит так: Google увидела достаточно признаков активности, чтобы пометить уязвимость как эксплуатируемую в ограниченных целевых атаках, и этого уже достаточно для повышения приоритета обновления.
Есть и отдельная нестыковка в исходном материале. В публикации говорится, что заявление об эксплуатации было сделано Google в Android Security Bulletin за март 2025 года, хотя сама статья посвящена июньским обновлениям 2026 года. Поэтому ссылку на бюллетень стоит трактовать осторожно, пока она не подтверждена напрямую документами Google.
Практический вывод остается тем же. Если бюллетень безопасности Android содержит эксплуатируемую уязвимость Framework, правильная реакция — не паника, а инвентаризация устройств, проверка обновлений, сравнение скорости реакции производителей и снижение доверия к устройствам, которые продолжают отставать без понятного пути получения исправлений.