Google ได้ดำเนินการสำคัญเพื่อเสริมความแข็งแกร่งให้กับระบบนิเวศความปลอดภัยของ Android ในการโจมตีสองแนวรบต่อภัยคุกคามดิจิทัล บริษัทได้ปล่อยแพตช์ความปลอดภัยรายเดือนที่สำคัญซึ่งแก้ไขช่องโหว่มากกว่าร้อยรายการ พร้อมกันนั้นก็ขยายฟีเจอร์ป้องกันการหลอกลวงระหว่างการโทรที่ซับซ้อนไปยังผู้ใช้ในสหรัฐอเมริกา การเคลื่อนไหวเหล่านี้เน้นย้ำถึงการต่อสู้สองแนวรบ ทั้งต่อต้านการโจมตีด้วยช่องโหว่ทางเทคนิคและการโจมตีด้วยวิศวกรรมสังคมที่ผู้ใช้สมาร์ทโฟนยุคใหม่ต้องเผชิญ
อัปเดตความปลอดภัยเดือนธันวาคมที่สำคัญ แก้ไขช่องโหว่ 107 รายการ
เมื่อวันที่ 4 ธันวาคม 2025 Google ได้เผยแพร่ Android Security Bulletin ประจำเดือนธันวาคม ซึ่งเป็นอัปเดตบังคับที่แก้ไขช่องโหว่ด้านความปลอดภัยจำนวนมากถึง 107 รายการ แพตช์นี้ไม่ใช่การปรับปรุงทั่วไป แต่เป็นมาตรการป้องกันที่สำคัญ ซึ่งส่งผลกระทบต่อ Android ทุกเวอร์ชันตั้งแต่ 13 ถึง 16 ระดับความรุนแรงของช่องโหว่เหล่านี้อยู่ในช่วงตั้งแต่ระดับปานกลางไปจนถึงร้ายแรงขั้นวิกฤต โดยหลายรายการจัดอยู่ในประเภทความเสี่ยงสูงสุด ในบรรดาช่องโหว่ที่อันตรายที่สุดคือช่องโหว่ระดับวิกฤตสี่รายการภายใน Android kernel การใช้ประโยชน์จากช่องโหว่ระดับ kernel เหล่านี้อาจทำให้ผู้โจมตีได้รับสิทธิ์ระดับสูง ซึ่งอาจนำไปสู่การยึดครองอุปกรณ์ทั้งหมดได้ อีกหนึ่งปัญหาระดับวิกฤตอยู่ใน Android Framework ซึ่งอาจถูกใช้เพื่อดำเนินการโจมตีแบบปฏิเสธการให้บริการระยะไกล ซึ่งทำให้การทำงานของอุปกรณ์หยุดชะงักได้
สรุปประกาศความปลอดภัย Android เดือนธันวาคม 2025
- วันที่เผยแพร่: 4 ธันวาคม 2025
- ช่องโหว่ทั้งหมดที่แก้ไข: 107 รายการ
- เวอร์ชัน Android ที่ได้รับผลกระทบ: 13, 14, 15, 16
- ช่องโหว่ร้ายแรงหลัก:
- วิกฤต (4): ช่องโหว่ใน Android Kernel ที่อนุญาตให้ยกระดับสิทธิ์หรือเข้าถึงอุปกรณ์
- วิกฤต (1): ช่องโหว่ใน Android Framework ที่ทำให้เกิดการปฏิเสธการให้บริการจากระยะไกล
- สูง (2 - ถูกใช้โจมตีแล้ว): CVE-2025-48572 (การยกระดับสิทธิ์) และ CVE-2025-48633 (การเปิดเผยข้อมูล)
- แหล่งที่มา: Google Security Bulletin, CISA Advisory.
ช่องโหว่ 2 รายการอาจถูกใช้โจมตีแบบเจาะจงแล้ว
ความเร่งด่วนของอัปเดตนี้ถูกเน้นย้ำด้วยคำเตือนจากทั้ง Google และสำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานแห่งสหรัฐอเมริกา (CISA) หน่วยงานทั้งสองระบุว่าช่องโหว่ระดับสูงสองรายการที่ได้รับการแก้ไขในอัปเดตนี้อาจถูกใช้ในการโจมตีแบบเจาะจงและจำกัดแล้ว ช่องโหว่ที่ติดตามด้วยรหัส CVE-2025-48572 และ CVE-2025-48633 นั้นเป็นช่องโหว่ที่ทำให้สิทธิ์ระดับสูงขึ้นและเปิดเผยข้อมูลภายใน Android Framework CISA ได้เพิ่มช่องโหว่เหล่านี้ลงในแคตตาล็อกของช่องโหว่ที่ถูกใช้โจมตีแล้ว โดยอธิบายว่าช่องโหว่ประเภทนี้เป็น "ช่องทางโจมตีที่พบบ่อย" ของผู้ไม่ประสงค์ดี คำแนะนำอย่างเป็นทางการนี้ แม้จะมุ่งเป้าไปที่หน่วยงานของรัฐบาลกลาง แต่ก็ทำหน้าที่เป็นคำเตือนที่ชัดเจนสำหรับผู้ใช้ Android ทุกคนให้ติดตั้งแพตช์ทันทีเพื่อลดความเสี่ยงจากภัยคุกคามที่กำลังดำเนินอยู่เหล่านี้
วิธีติดตั้งแพตช์ความปลอดภัย Android ล่าสุด
การติดตั้งอัปเดตความปลอดภัยที่สำคัญนี้เป็นกระบวนการที่ตรงไปตรงมา แม้ว่าขั้นตอนที่แน่นอนอาจแตกต่างกันเล็กน้อยขึ้นอยู่กับผู้ผลิตและรุ่นของอุปกรณ์ของคุณ ผู้ใช้ควรไปที่เมนู การตั้งค่า บนอุปกรณ์และค้นหา "อัปเดต" หรือ "อัปเดตซอฟต์แวร์" ภายในเมนูนี้ ควรมีตัวเลือกเฉพาะสำหรับ "อัปเดตความปลอดภัย" หรือ "อัปเดตความปลอดภัยของ Google" การเลือกตัวเลือกนี้จะทำให้อุปกรณ์ตรวจสอบและดาวน์โหลดแพตช์ล่าสุด เมื่อการดาวน์โหลดเสร็จสิ้น การรีสตาร์ทอุปกรณ์จะทำให้การติดตั้งสมบูรณ์ โดยนำการแก้ไขสำหรับช่องโหว่ทั้งหมด 107 รายการที่บันทึกไว้ไปใช้ และปกป้องอุปกรณ์จากการโจมตีที่ทราบแล้ว
การป้องกันการหลอกลวงระหว่างการโทรแบบใหม่ เปิดตัวในแอปธนาคารของสหรัฐอเมริกา
ในโครงการริเริ่มด้านความปลอดภัยที่ดำเนินไปคู่ขนานกัน Google ได้ขยายโปรแกรมนำร่องป้องกันการหลอกลวงระหว่างการโทรที่สร้างสรรค์นี้ไปยังสหรัฐอเมริกา ฟีเจอร์นี้ออกแบบมาเพื่อต่อสู้กับรูปแบบการฉ้อโกงด้วยวิศวกรรมสังคมที่พบได้บ่อย โดยที่มิจฉาชีพ มักจะแอบอ้างเป็นเจ้าหน้าที่ธนาคาร โน้มน้าวให้เหยื่อแชร์หน้าจอโทรศัพท์ระหว่างการสนทนา เป้าหมายของอาชญากรคือการเฝ้าดูขณะที่เหยื่อป้อนข้อมูลเข้าสู่ระบบหรือเริ่มการโอนเงินภายในแอปพลิเคชันทางการเงิน กลไกป้องกันใหม่ของ Android จะเปิดใช้งานโดยอัตโนมัติระหว่างการโทรจากหมายเลขที่ไม่ได้บันทึกไว้ในรายชื่อผู้ติดต่อของผู้ใช้ หากมีการแชร์หน้าจออยู่และผู้ใช้เปิดแอปทางการเงินที่เป็นพันธมิตร เช่น JPMorgan Chase หรือ Cash App ระบบจะเข้าแทรกแซงอย่างเด็ดขาด
ระบบป้องกันการหลอกลวงระหว่างการโทรบน Android (โครงการนำร่องในสหรัฐอเมริกา)
- ภูมิภาคเปิดตัว: สหรัฐอเมริกา (ขยายจากสหราชอาณาจักร, บราซิล, อินเดีย)
- ภัยคุกคามเป้าหมาย: การฉ้อโกงด้วยวิศวกรรมสังคมผ่านการแชร์หน้าจอระหว่างการสนทนา
- เงื่อนไขการทำงาน:
ระหว่างการโทรด้วยหมายเลขที่ไม่อยู่ในรายชื่อผู้ติดต่อ การแชร์หน้าจอกำลังทำงานอยู่
ผู้ใช้เปิดแอปพลิเคชันทางการเงินที่เป็นพันธมิตร การดำเนินการป้องกัน:
- แสดงคำเตือนเต็มหน้าจอ
- ตัวเลือกแตะครั้งเดียวเพื่อยุติการโทรและการแชร์
- ต้องหยุดรอเป็นเวลา 30 วินาทีก่อนดำเนินการต่อ
- พันธมิตรเริ่มต้นในสหรัฐอเมริกา: JPMorgan Chase, Cash App
- ข้อกำหนดเวอร์ชัน Android: 11 หรือสูงกว่า
ขัดขวางการฉ้อโกงด้วยคำเตือนและการหยุดพักเชิงกลยุทธ์
การแทรกแซงนี้ออกแบบมาเพื่อทำลายแรงกดดันทางจิตวิทยาของการหลอกลวง เมื่อถูกกระตุ้น อุปกรณ์จะแสดงคำเตือนเต็มหน้าจอที่เด่นชัดเกี่ยวกับอันตรายที่อาจเกิดขึ้นจากการแบ่งปันข้อมูลระหว่างการโทรที่ยังไม่ได้รับการยืนยัน คำเตือนมีตัวเลือกแตะครั้งเดียวเพื่อยุติทั้งการโทรและการแชร์หน้าจอทันที ที่สำคัญเชิงกลยุทธ์มากขึ้นคือ ฟีเจอร์นี้กำหนดให้ต้องหยุดพักบังคับ 30 วินาทีก่อนที่ผู้ใช้จะปิดคำเตือนและดำเนินการต่อได้ การขัดจังหวะสั้นๆ นี้มีความสำคัญ มันทำลายเรื่องเร่งด่วนที่มิจฉาชีพสร้างขึ้น ทำให้เหยื่อมีเวลาถอยหลัง一步 คิดอย่างมีเหตุผล และตระหนักถึงความพยายามในการหลอกลวงก่อนที่จะเกิดความเสียหายทางการเงินใดๆ ฟีเจอร์นี้ต้องใช้ Android เวอร์ชัน 11 ขึ้นไป
แนวทางหลายมิติเพื่อความปลอดภัยบนมือถือยุคใหม่
การประกาศพร้อมกันเหล่านี้จาก Google แสดงถึงกลยุทธ์ที่ครอบคลุมสำหรับความปลอดภัยบนมือถือในช่วงปลายปี 2025 แพตช์ความปลอดภัยเดือนธันวาคมแก้ไขช่องโหว่ทางเทคนิคที่ซ่อนอยู่ซึ่งแฮกเกอร์ใช้ประโยชน์ผ่านมัลแวร์และโค้ดที่ซับซ้อน การป้องกันการหลอกลวงที่ขยายออกไปนั้นจัดการกับองค์ประกอบของมนุษย์ โดยสร้าง "สิ่งกีดขวางความเร็ว" ดิจิทัลเข้าไปในระบบปฏิบัติการ เพื่อปกป้องผู้ใช้ในช่วงเวลาที่ตื่นตระหนกหรือสับสนของพวกเขาเอง แนวทางสองด้านนี้—การเสริมความแข็งแกร่งให้กับซอฟต์แวร์ต่อการบุกรุกและชี้นำพฤติกรรมผู้ใช้ระหว่างการโต้ตอบที่มีความเสี่ยงสูง—แสดงให้เห็นถึงความเข้าใจที่พัฒนาขึ้นเกี่ยวกับภูมิทัศน์ของภัยคุกคาม สำหรับผู้ใช้ Android ข้อความนั้นชัดเจน: การอัปเดตอุปกรณ์และการตระหนักถึงฟีเจอร์ป้องกันใหม่เหล่านี้เป็นขั้นตอนที่จำเป็นและไม่สามารถต่อรองได้สำหรับความปลอดภัยทางไซเบอร์ส่วนบุคคล