Google 近期釋出了 Android 11 月份的安全性更新，此次更新雖然僅修補了兩個漏洞，但其中一個零點擊遠端程式碼執行 (RCE) 漏洞 CVE-2025-48593，因其嚴重性而受到高度關注，影響範圍涵蓋 Android 13 至 16 版本 (iThome Security, 2025)。本文將深入探討此漏洞的細節、潛在風險，以及建議的防護措施。

Google 修補 Android 系統元件零點擊 RCE 漏洞

此漏洞存在於 Android 系統的核心元件中，攻擊者無需任何使用者互動，便可遠端執行程式碼 (Google, 2025)。換句話說，使用者甚至不需要點擊任何連結或開啟可疑檔案，駭客就能夠入侵裝置。這對於擁有大量 Android 使用者的生態系統而言，是相當嚴重的威脅。

漏洞詳情與風險

• CVE-2025-48593：此漏洞被列為最高嚴重等級，影響 Android 13 到 16（iThome Security, 2025）。攻擊者可利用精心構造的網路封包，或是透過側載、第三方平台上的惡意 App 入侵裝置（CybersecurityNews, 2025）。
• 零點擊攻擊：此類攻擊極具隱蔽性，可繞過使用者偵測。攻擊者可以透過簡訊或其他訊息平台、電子郵件應用程式和電話應用程式等管道，在使用者毫不知情的情況下植入惡意軟體 (Protectstar Inc., 2025)。
• 潛在風險：攻擊成功後，駭客可以竊取用戶資料、植入勒索軟體，甚至將裝置納入殭屍網路 (CybersecurityNews, 2025)。

零點擊漏洞的類型

智慧型手機是零點擊攻擊最常見的目標。攻擊者可以透過簡訊、通訊和社群媒體應用程式，利用應用程式中的漏洞注入惡意程式碼 (Checkpoint, 2025)。

受影響範圍

所有運行 Android 10 以上版本的裝置都存在風險 (iThome Security, 2025)。然而，由於各家廠商的更新時程不一，部分裝置可能延遲收到安全更新，導致曝險時間延長 (Security Circle, 2025)。例如，較舊的 Android 裝置可能因為製造商停止支援而無法獲得更新。

修復與防護建議

為了保護您的 Android 裝置免受此漏洞的威脅，建議您立即採取以下措施：

• 檢查並安裝最新系統更新：前往「設定」>「系統」>「系統更新」，確認裝置已安裝最新的安全修補程式 (Google, 2025)。Google 建議應用 2025-11-01 安全補丁版本。
• 僅從官方應用商店下載應用程式：避免從非官方或來路不明的來源下載應用程式，以降低側載惡意 App 的風險。
• 保持警覺：即使看似無害的訊息或來電，也可能暗藏危機。對於要求提供個人資訊或執行特定操作的訊息，應保持高度警惕 (Protectstar Inc., 2025)。
• 安裝行動安全軟體：考慮安裝信譽良好的行動安全軟體，以提供額外的保護層。例如，Check Point Harmony 行動裝置防護提供多層保護，能夠辨識並阻止這種複雜惡意軟體的感染 (Checkpoint, 2025)。

其他資訊安全新聞:
Gootloader惡意軟體在休兵半年後，透過SEO中毒重出江湖，要特別留意 (iThome Security, 2025)。還有駭客組織鎖定伊朗與以色列局勢而來，鎖定學者與外交政策專家下手。現代汽車旗下的北美IT服務供應商資料外洩，社會安全碼與駕照曝險。

結論

Android 的零點擊 RCE 漏洞再次提醒我們，網路安全威脅不斷演進。使用者應時刻保持警惕，並積極採取行動來保護自己的裝置和資料。透過及時更新系統、謹慎下載應用程式，以及安裝安全軟體，可以有效降低受駭風險。

參考文獻

• Checkpoint. (2025). What is a zero-click attack? Retrieved from https://www.checkpoint.com/tw/cyber-hub/cyber-security/what-is-a-zero-click-attack/
• CybersecurityNews. (2025). [Cited in iThome Security].
• Google. (2025). Android Security Bulletin—November 2025. Retrieved from Android Security Bulletins.
• iThome Security. (2025). Google修補Android系統元件零點擊RCE漏洞. Retrieved from https://www.ithome.com.tw/news/172086
• iThome Security. (2025). 【資安日報】11月6日，Google發布安卓11月例行更新，修補零點擊漏洞受到高度關注. Retrieved from https://www.ithome.com.tw/news/172075
• Protectstar Inc. (2025). Zero-day vulnerabilities and malvertising on android: A guide to protection and security. Retrieved from https://www.protectstar.com/zh/blog/zero-day-vulnerabilities-and-malvertising-on-android-a-guide-to-protection-and-security
• Security Circle. (2025). 【安全圈】安卓系统组件中存在严重零点击漏洞，可导致远程代码执行攻击. Retrieved from https://www.163.com/dy/article/KDKI7M0T0511A5GF.html