Key Message
มีรายงานช่องโหว่ RCE ระดับ Critical CVE-2025-48593 ในรูปแบบ Zero-Click บนระบบปฏิบัติการ Android
ผู้โจมตีสามารถรันโค้ดอันตรายจากระยะไกลบนอุปกรณ์เหยื่อได้ทันที เพียงแค่อุปกรณ์ยังไม่ได้ทำการอัปเดต โดยที่เหยื่อไม่ต้องดำเนินการใด ๆ ทั้งสิ้น ไม่ต้องคลิก, ไม่ต้องเปิดไฟล์
ส่งผลกระทบต่อ Android (AOSP) เวอร์ชัน 13, 14, 15, และ 16
วิธีแก้ไขช่องโหว่ที่ดีที่สุดคือการอัปเดตแพตช์ November 2025 Android Security Bulletin ที่ Google ได้ปล่อยออกมาแล้วทันที
สำหรับผู้ที่ยังไม่สามารถอัปเดตได้ ควรพิจารณา ปิด Bluetooth ชั่วคราว โดยเฉพาะในพื้นที่ที่มีผู้คนหนาแน่น เพื่อลดความเสี่ยงจากการถูกโจมตี
เมื่อวันที่ 3 พฤศจิกายน 2025 ที่ผ่านมา Google ได้เผยแพร่ Android Security Bulletin ประจำเดือนพฤศจิกายน ซึ่งมีการเปิดเผยช่องโหว่ด้านความปลอดภัยหลายรายการ และหนึ่งในนั้นที่สร้างความกังวลให้กับผู้ใช้งาน Android เป็นอย่างมาก คือช่องโหว่ CVE-2025-48593 ซึ่งถูกระบุว่าเป็นช่องโหว่ระดับ Critical และเป็นช่องโหว่ประเภท Zero-Click Remote Code Execution (RCE)
โดยช่องโหว่แบบ “Zero-Click” เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนอุปกรณ์ของเหยื่อได้โดยที่เหยื่อไม่จำเป็นต้องดำเนินการใด ๆ ทั้งสิ้น ไม่ต้องคลิก, ไม่ต้องเปิดไฟล์ ก็อาจถูกโจมตีได้ทันที ลักษณะการโจมตีที่ง่ายดายเช่นนี้ ทำให้ช่องโหว่ CVE-2025-48593 ถูกคาดหมายว่าอาจเป็น "ฝันร้าย" สำหรับผู้ใช้งาน Android
รายละเอียดทางเทคนิคของ CVE-2025-48593
หมายเลข CVE (CVE ID) : CVE-2025-48593
ระดับความรุนแรง (Severity) : Critical (ตามการประเมินของ Google ใน Android Security Bulletin)
ประเภทของช่องโหว่ (Vulnerability Type) : Remote Code Execution (RCE)
ระบบที่ได้รับผลกระทบ (Affected Component) : System Component ของ Android
การโต้ตอบจากผู้ใช้ (User Interaction) : “Zero-Click” ไม่ต้องอาศัยการโต้ตอบใด ๆ จากผู้ใช้งาน
ผู้รายงานช่องโหว่ (Researcher) : Dikun Zhang จาก Li Auto security team
เวอร์ชันที่ได้รับผลกระทบ (Affected Versions) : Android (AOSP) 13, 14, 15, 16
วิธีการลดผลกระทบ (Mitigation) : อัปเดตแพตซ์ November 2025 Android Security Bulletin
ข้อมูลเพิ่มเติมของช่องโหว่
ช่องโหว่นี้ถูกเปิดเผยอย่างเป็นทางการโดย Google ใน Security Bulletin ของ Android ประจำเดือนพฤศจิกายน 2025 โดย Google ให้เครดิตการค้นพบ และรายงานช่องโหว่กับ Dikun Zhang (stardesty) นักวิจัยจากทีมความปลอดภัยของ Li Auto
โดยการที่นักวิจัยสังกัดบริษัทรถยนต์เป็นผู้ค้นพบช่องโหว่ แสดงให้เห็นถึงความก้าวหน้าของเทคโนโลยียานยนต์ในปัจจุบัน เนื่องจากระบบบันเทิงในรถยนต์สมัยใหม่ถูกสร้างขึ้นบน Android Open Source Project (AOSP) มากขึ้น การค้นพบช่องโหว่นี้แสดงให้เห็นว่า ในขณะที่พื้นที่การโจมตีของ Android ขยายไปสู่โครงสร้างพื้นฐานที่สำคัญ นักวิจัยจากอุตสาหกรรมที่ได้รับผลกระทบใหม่ ๆ เหล่านี้กำลังกลายเป็นส่วนสำคัญในการค้นพบช่องโหว่ในโค้ดหลักของ AOSP
ถึงแม้ยังไม่มีรายละเอียดของช่องโหว่ และวิธีการโจมตีจาก Google ออกมาอย่างเป็นทางการ แต่จากการวิเคราะห์ทางเทคนิคที่ปรากฏในรายงานของ Tenable และการอ้างอิงโค้ดจาก AOSP (Android Open Source Project) พบว่าช่องโหว่นี้มีสาเหตุมาจาก Android Component ซึ่งเกี่ยวข้องกับโมดูล Bluetooth โดยเฉพาะอย่างยิ่งในส่วนของ Hands-Free Client (HF client) โดย Tenable ระบุว่า ช่องโหว่นี้เป็นช่องโหว่ในลักษณะ Use-After-Free ซึ่งเกิดขึ้นในฟังก์ชัน bta_hf_client_cb_init ภายในไฟล์ bta_hf_client_main.