Key Message
- มีรายงานช่องโหว่ RCE ระดับ Critical CVE-2025-48593 ในรูปแบบ Zero-Click บนระบบปฏิบัติการ Android
- ผู้โจมตีสามารถรันโค้ดอันตรายจากระยะไกลบนอุปกรณ์เหยื่อได้ทันที เพียงแค่อุปกรณ์ยังไม่ได้ทำการอัปเดต โดยที่เหยื่อไม่ต้องดำเนินการใด ๆ ทั้งสิ้น ไม่ต้องคลิก, ไม่ต้องเปิดไฟล์
- ส่งผลกระทบต่อ Android (AOSP) เวอร์ชัน 13, 14, 15, และ 16
- วิธีแก้ไขช่องโหว่ที่ดีที่สุดคือการอัปเดตแพตช์ November 2025 Android Security Bulletin ที่ Google ได้ปล่อยออกมาแล้วทันที
- สำหรับผู้ที่ยังไม่สามารถอัปเดตได้ ควรพิจารณา ปิด Bluetooth ชั่วคราว โดยเฉพาะในพื้นที่ที่มีผู้คนหนาแน่น เพื่อลดความเสี่ยงจากการถูกโจมตี
เมื่อวันที่ 3 พฤศจิกายน 2025 ที่ผ่านมา Google ได้เผยแพร่ Android Security Bulletin ประจำเดือนพฤศจิกายน ซึ่งมีการเปิดเผยช่องโหว่ด้านความปลอดภัยหลายรายการ และหนึ่งในนั้นที่สร้างความกังวลให้กับผู้ใช้งาน Android เป็นอย่างมาก คือช่องโหว่ CVE-2025-48593 ซึ่งถูกระบุว่าเป็นช่องโหว่ระดับ Critical และเป็นช่องโหว่ประเภท Zero-Click Remote Code Execution (RCE)
โดยช่องโหว่แบบ “Zero-Click” เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนอุปกรณ์ของเหยื่อได้โดยที่เหยื่อไม่จำเป็นต้องดำเนินการใด ๆ ทั้งสิ้น ไม่ต้องคลิก, ไม่ต้องเปิดไฟล์ ก็อาจถูกโจมตีได้ทันที ลักษณะการโจมตีที่ง่ายดายเช่นนี้ ทำให้ช่องโหว่ CVE-2025-48593 ถูกคาดหมายว่าอาจเป็น "ฝันร้าย" สำหรับผู้ใช้งาน Android
รายละเอียดทางเทคนิคของ CVE-2025-48593
- หมายเลข CVE (CVE ID) : CVE-2025-48593
- ระดับความรุนแรง (Severity) : Critical (ตามการประเมินของ Google ใน Android Security Bulletin)
- ประเภทของช่องโหว่ (Vulnerability Type) : Remote Code Execution (RCE)
- ระบบที่ได้รับผลกระทบ (Affected Component) : System Component ของ Android
- การโต้ตอบจากผู้ใช้ (User Interaction) : “Zero-Click” ไม่ต้องอาศัยการโต้ตอบใด ๆ จากผู้ใช้งาน
- ผู้รายงานช่องโหว่ (Researcher) : Dikun Zhang จาก Li Auto security team
- เวอร์ชันที่ได้รับผลกระทบ (Affected Versions) : Android (AOSP) 13, 14, 15, 16
- วิธีการลดผลกระทบ (Mitigation) : อัปเดตแพตซ์ November 2025 Android Security Bulletin
ข้อมูลเพิ่มเติมของช่องโหว่
ช่องโหว่นี้ถูกเปิดเผยอย่างเป็นทางการโดย Google ใน Security Bulletin ของ Android ประจำเดือนพฤศจิกายน 2025 โดย Google ให้เครดิตการค้นพบ และรายงานช่องโหว่กับ Dikun Zhang (Stardesty) นักวิจัยจากทีมความปลอดภัยของ Li Auto
โดยการที่นักวิจัยสังกัดบริษัทรถยนต์เป็นผู้ค้นพบช่องโหว่ แสดงให้เห็นถึงความก้าวหน้าของเทคโนโลยียานยนต์ในปัจจุบัน เนื่องจากระบบบันเทิงในรถยนต์สมัยใหม่ถูกสร้างขึ้นบน Android Open Source Project (AOSP) มากขึ้น การค้นพบช่องโหว่นี้แสดงให้เห็นว่า ในขณะที่พื้นที่การโจมตีของ Android ขยายไปสู่โครงสร้างพื้นฐานที่สำคัญ นักวิจัยจากอุตสาหกรรมที่ได้รับผลกระทบใหม่ ๆ เหล่านี้กำลังกลายเป็นส่วนสำคัญในการค้นพบช่องโหว่ในโค้ดหลักของ AOSP
ถึงแม้ยังไม่มีรายละเอียดของช่องโหว่ และวิธีการโจมตีจาก Google ออกมาอย่างเป็นทางการ แต่จากการวิเคราะห์ทางเทคนิคที่ปรากฏในรายงานของ Tenable และการอ้างอิงโค้ดจาก AOSP (Android Open Source Project) พบว่าช่องโหว่นี้มีสาเหตุมาจาก Android Component ซึ่งเกี่ยวข้องกับโมดูล Bluetooth โดยเฉพาะอย่างยิ่งในส่วนของ Hands-Free Client (HF Client) โดย Tenable ระบุว่า ช่องโหว่นี้เป็นช่องโหว่ในลักษณะ Use-After-Free ซึ่งเกิดขึ้นในฟังก์ชัน bta_hf_client_cb_init ภายในไฟล์ bta_hf_client_main.cc
โดย bta_hf_client_main.cc คือไฟล์ซอร์สโค้ดในการใช้งาน Bluetooth Stack ของระบบปฏิบัติการ Android ซึ่งเป็นส่วนหนึ่งของ Bluetooth Host Audio (BTA HF) Client Module ซึ่งทำหน้าที่จัดการ Bluetooth Hands-Free Profile (HFP) ฝั่งไคลเอนต์ ซึ่งโปรไฟล์นี้ช่วยให้อุปกรณ์ เช่น สมาร์ทโฟน สามารถเชื่อมต่อกับอุปกรณ์ Hands-Free เช่น เครื่องเสียงรถยนต์ หรือชุดหูฟัง เพื่อโทรออก และรับสายได้
ส่วนช่องโหว่ Use-After-Free เป็นช่องโหว่ด้านหน่วยความจำที่เกิดขึ้นเมื่อโปรแกรมพยายามเข้าถึง หรือใช้งานหน่วยความจำที่เคยถูกจัดสรรไว้ และถูกปล่อยกลับสู่ระบบไปแล้ว การใช้หน่วยความจำที่ถูกปล่อยไปแล้วนี้อาจนำไปสู่การรันโค้ดที่เป็นอันตรายจากระยะไกลได้ รวมไปถึงช่องโหว่นี้ยังเกิดจากการตรวจสอบความถูกต้องของข้อมูล Input จากผู้ใช้ที่ไม่เพียงพอ (Insufficient Validation of User Input) โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับ Discovery Database ของ HF Client
การโจมตีช่องโหว่ CVE-2025-48593
ถึงแม้ Google จะยังไม่ออกมายืนยันว่ามี POC Exploit Code ถูกปล่อยออกสู่สาธารณะแล้วหรือไม่ แต่ข้อมูลจากรายงานของ Wiz กลับระบุในส่วนของ “Has Public Exploit” ว่าเป็น “Yes” ซึ่งถึงแม้จะยังไม่มีรายละเอียดของวิธีการโจมตีถูกปล่อยออกมาสู่สาธารณะ แต่เหตุการณ์นี้ก็ทำให้ความกังวลถึงความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่ CVE-2025-48593 เพิ่มมากขึ้นในปัจจุบัน
เนื่องจากปัจจุบันยังไม่มีรายงานการโจมตีที่เกิดขึ้นจริงในวงกว้าง จึงยังไม่สามารถระบุวิธีการโจมตีช่องโหว่ CVE-2025-48593 ได้อย่างแน่ชัด แต่หากคาดการณ์สถานการณ์ความเป็นไปได้ของการโจมตีแบบ Zero-Click ที่เกี่ยวข้องกับ Bluetooth อาจจะเกิดขึ้นได้จากการที่ผู้โจมตีจะมุ่งเป้าไปที่อุปกรณ์ที่เปิด Bluetooth ไว้ในบริเวณใกล้เคียง เช่น
- ผู้โจมตีอาจจะพกพาอุปกรณ์ที่สามารถส่ง และรับสัญญาณ Bluetooth แบบพิเศษ (Malicious Bluetooth Packet) ซึ่งอุปกรณ์นี้อาจเป็นอุปกรณ์คอมพิวเตอร์ขนาดเล็กที่มี Bluetooth Adapter ที่ถูกดัดแปลง
- เหยื่อเป็นผู้ใช้งาน Android (เวอร์ชัน 13-16 ที่ยังไม่ได้อัปเดต) ที่เปิดฟังก์ชัน Bluetooth ไว้ โดยไม่จำเป็นต้องมีการจับคู่ (Pairing) กับอุปกรณ์ของผู้โจมตี
- ผู้โจมตีทำการส่งชุดข้อมูลที่ออกแบบมาเป็นพิเศษ (Specially Crafted Packet) ผ่านโปรโตคอล Bluetooth ไปยังอุปกรณ์ของเหยื่อ
- ชุดข้อมูลนี้จะเลียนแบบ หรือโต้ตอบกับฟังก์ชัน Hands-Free Profile (HFP) ของ Android ในลักษณะที่ผิดปกติ เพื่อทำให้เกิดช่องโหว่แบบ Use-After-Free ภายใน System Component ของ Android (bta_hf_client_main.cc)
- เมื่อช่องโหว่ถูกโจมตีได้สำเร็จ ผู้โจมตีจะสามารถรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนอุปกรณ์ของเหยื่อได้ทันที โดยที่เหยื่อไม่เห็นการแจ้งเตือน ไม่ต้องคลิก หรือไม่ต้องรับสายใด ๆ
- โดยการโจมตีรูปแบบนี้สามารถเกิดขึ้นได้ในบริเวณที่มีผู้คนหนาแน่น เช่น ร้านกาแฟ, สนามบิน หรือขนส่งสาธารณะ ตราบใดที่อุปกรณ์ของผู้โจมตีอยู่ในระยะทำการของ Bluetooth
ผลกระทบจากช่องโหว่
ถึงแม้จะมีนักวิจัยบางคนออกมาระบุว่าช่องโหว่ CVE-2025-48593 อาจจะไม่ได้ส่งผลกระทบกับระบบปฏิบัติการ Android ที่อยู่บนโทรศัพท์ แต่อาจส่งผลกระทบเฉพาะกับอุปกรณ์ Android ที่รองรับการใช้งานเป็นหูฟัง/ลำโพงบลูทูธ เช่น สมาร์ทวอทช์, แว่นตาอัจฉริยะ และรถยนต์บางรุ่น แต่ก็ยังถือว่าเป็นแหล่งข้อมูลที่ยังไม่ได้รับการยืนยันอย่างเป็นทางการจาก Google แต่อย่างใด
รวมไปถึงการที่ช่องโหว่ CVE-2025-48593 ถูกระบุว่าเป็นช่องโหว่แบบ RCE ที่ระดับ System Component และไม่ต้องมีการโต้ตอบใด ๆ จากผู้ใช้ ผลกระทบจึงอาจค่อนข้างร้ายแรง และเป็นวงกว้าง โดยผู้โจมตีที่ประสบความสำเร็จในการโจมตีโดยใช้ช่องโหว่นี้ จะสามารถรันโค้ดได้ตามที่ต้องการจากระยะไกลบนอุปกรณ์ Android ของเหยื่อ โดยอาจทำให้สามารถเข้าควบคุมอุปกรณ์ของเหยื่อได้อย่างสมบูรณ์ ซึ่งอาจนำไปสู่การขโมยข้อมูลที่มีความสำคัญ, ข้อมูลส่วนตัว และข้อมูลต่าง ๆ บนอุปกรณ์
มาตรการลดผลกระทบ และการแก้ไขช่องโหว่
วิธีการที่ดีที่สุดในการแก้ไขช่องโหว่ CVE-2025-48593 คือการอัปเดตแพตซ์ เนื่องจาก Google ได้เผยแพร่แพตช์อัปเดตสำหรับแก้ไขช่องโหว่นี้ออกมาแล้วในเดือนพฤศจิกายน 2025
อย่างไรก็ตาม ถึงแม้ว่าผู้ผลิตโทรศัพท์ Android หลายแบรนด์มีการออกอัปเดตความปลอดภัยของเดือนพฤจิกายนออกมาเรียบร้อยแล้ว แต่ก็ยังพบว่ามีบางผู้ผลิตที่ยังไม่มีการออกแพตซ์อัปเดตด้านความปลอดภัยปล่อยออกมา ผู้ใช้งานทุกคนควรตรวจสอบแพตช์ความปลอดภัยของอุปกรณ์ Android ของตนเองทันที และทำการติดตั้งการอัปเดตความปลอดภัยล่าสุดที่ผู้ผลิตอุปกรณ์ของท่านปล่อยออกมาทันทีที่สามารถทำได้
ในกรณีที่ยังไม่มีแพตช์อัปเดตสำหรับแก้ไขช่องโหว่นี้จากผู้ผลิตโทรศัพท์ Android ของท่าน หากกังวลว่าอาจจะมีความเสี่ยงจากการถูกโจมตีโดยใช้ช่องโหว่ CVE-2025-48593 แนะนำให้ทำการ Disable Bluetooth ในช่วงเวลาที่อยู่ในบริเวณที่มีผู้คนหนาแน่น เช่น ร้านกาแฟ, สนามบิน หรือขนส่งสาธารณะหากสามารถทำได้
อ้างอิงจาก
- https://socprime.com/blog/cve-2025-48593-vulnerability-in-android/
- https://www.reddit.com/r/cybersecurity/comments/1opdp6x/android_zeroclick_nightmare_cve202548593/
- https://source.android.com/docs/security/bulletin/2025-11-01
- https://www.linkedin.com/posts/david-sehyeon-baek-5a96a9109_androidsecurity-zeroclick-cve202548593-activity-7391453081537843200-BZV0
- https://www.linkedin.com/posts/ahmed-pentest_cve-2025-48593-bluetooth-nightmare-zero-click-activity-7393533493898571777-v5GF
- https://www.wiz.io/vulnerability-database/cve/cve-2025-48593
- https://www.tenable.com/cve/CVE-2025-48593
- https://www.esecurityplanet.com/threats/android-zero-click-flaw-lets-hackers-take-over-devices/
- https://github.com/zhuowei/blueshrimp
You must be logged in to post a comment.