Android Users: Your Phone Might Already Be Compromised — And Google Just Dropped the Bomb
安卓用户注意:你的手机可能已经被入侵了——而谷歌刚刚甩下了一颗炸弹

www.theregister.com
Two zero-day vulnerabilities in Android’s core framework were actively exploited before the patch dropped. CVE-2025-48633 leaks sensitive data, and CVE-2025-48572 lets attackers escalate privileges—both are high-severity and were used in targeted attacks.
安卓核心框架中的两个零日漏洞在补丁发布前就被实际利用了。CVE-2025-48633 会泄漏敏感数据,CVE-2025-48572 则允许攻击者提权——两者均为高危漏洞,并已被用于定向攻击。
The US government just added these flaws to its KEV catalog, forcing federal agencies to patch by December 23. And get this—there are 107 other fixes in this update. If you haven't updated in weeks, your phone is basically a glass house with the lights on.
美国政府已将这些漏洞加入其KEV目录,强制联邦机构必须在12月23日前完成修复。更离谱的是——这次更新还修复了107个其他漏洞。如果你几周没更新系统,你的手机基本上就是个亮着灯的玻璃屋。
定向攻击通常意味着背后有强大资源支持——比如国家行为体或NSO集团这类间谍软件供应商。这可不是普通的恶意脚本。如果你是记者、活动人士或高管,请默认你的设备早已上了别人的名单。
所以……这意思是我要把手机恢复出厂设置吗?我上周才更新过,但现在有点 paranoid。
别慌,不用清空手机。只要确保自动更新是开启的就行。补丁已经上线了。如果你在5号之后更新过,大概率是安全的。不过呢,这就是我为什么总跟孩子说:要把手机当银行账户一样对待。
冷知识:上个月修复的 V8 引擎漏洞是2025年第七个Chrome零日漏洞。没错,你没看错——是七个。在一年内。浏览器现在已经是攻击的主战场了。
三个月前我就换到了GrapheneOS。零谷歌应用,零追踪。我知道——大多数人不会这么做,但你的手机早就成了企业和政府合体的监控设备。醒醒吧。
有更新?不了,我待会儿再说。电量只剩20%,而且我正刷抖音刷到上头呢。
那个‘待会儿’正是攻击得手的时候。20%的电量?插上充电器啊。一次更新不会毁了你的心情——但可能救了你的身份信息。
‘补丁星期二’现在变成了‘他妈的每天都是补丁日’。我们不过是在把僵尸挡在服务器室外,而开发人员却在玩漏洞打地鼠游戏。