Android CVE-2025-48595 : zero-day exploité activement, 124 failles corrigées en juin 2026

Les faits

Google a publié le 2 juin 2026 son bulletin de sécurité Android mensuel, adressant au total 124 vulnérabilités réparties sur deux niveaux de patch : 2026-06-01 et 2026-06-05. Parmi ces failles, une se distingue par son caractère critique sur le plan opérationnel : CVE-2025-48595, une élévation de privilèges dans le composant Framework d'Android, notée CVSS 8.4 (haute sévérité), que Google indique être sous exploitation ciblée limitée dans la nature.

La vulnérabilité est classée comme un dépassement d'entier (integer overflow, CWE-190) se produisant à plusieurs emplacements dans le code du Framework Android. Ce type de faille permet à un attaquant ayant déjà obtenu une exécution de code sur l'appareil — via une application malveillante installée par l'utilisateur par exemple — d'escalader ses privilèges vers un niveau supérieur du système, sans nécessiter d'interaction utilisateur supplémentaire ni de permissions additionnelles. En pratique, une application apparemment anodine peut silencieusement acquérir des droits élevés pour lire les données d'autres applications, intercepter des communications ou modifier des paramètres système protégés.

La CISA américaine a ajouté CVE-2025-48595 à son catalogue Known Exploited Vulnerabilities (KEV) le 2 juin 2026, avec une date limite de remédiation fixée au 5 juin 2026 pour les agences civiles fédérales soumises à la directive BOD 22-01. Cette inscription au KEV confirme que l'exploitation ne relève pas de la théorie mais d'intrusions documentées sur des cibles réelles.

L'exploitation observée présente les caractéristiques d'un usage ciblé et non d'une campagne massive opportuniste. La formulation "limited, targeted exploitation" employée par Google dans son bulletin est de plus en plus associée à des outils de surveillance commerciaux (spyware) ou à des acteurs étatiques. Ce vecteur d'élévation de privilèges s'inscrit dans une chaîne d'attaque typique : un premier vecteur compromet l'application dans son sandbox, CVE-2025-48595 brise ensuite l'isolation pour atteindre le noyau ou les données d'autres applications. Les terminaux des journalistes, avocats, militants ou cadres dirigeants constituent les cibles habituelles dans ce type de scénario.

Le bulletin de juin 2026 est l'un des plus fournis de l'année pour Android, avec 18 vulnérabilités critiques identifiées. Les composants les plus touchés sont le Framework (6 failles), le System (9 failles), les pilotes Qualcomm (23 failles dont plusieurs critiques) et les composants MediaTek (14 failles). Google a également corrigé plusieurs vulnérabilités dans les composants noyau Linux affectant ses appareils Pixel, packagées dans le niveau de patch 2026-06-05.

Les versions Android concernées par CVE-2025-48595 sont Android 14, 15, 16 et 16-QPR2. Les versions antérieures (Android 13 et moins) ne reçoivent plus de correctifs de sécurité depuis fin 2025 pour la plupart des appareils non-Pixel, les laissant exposées à l'ensemble des vulnérabilités publiées depuis lors. Selon les statistiques de distribution de versions, plus de 38 % des appareils Android actifs tournaient sur Android 13 ou moins début 2026, soit des centaines de millions d'appareils sans mise à jour de sécurité disponible.

Pour les appareils Samsung, le correctif SMR-JUN-2026 est disponible depuis le 1er juin sur les gammes Galaxy S et Galaxy A récentes, intégrant les fixes Google ainsi que 8 correctifs propriétaires Samsung. Les appareils Pixel ont commencé à recevoir la mise à jour OTA dès le 2 juin. Les autres fabricants (Motorola, OnePlus, Xiaomi, Oppo) publient généralement leurs correctifs avec un délai de 2 à 6 semaines. En contexte d'entreprise, les équipes MDM doivent forcer la mise à jour via leur politique de conformité dès que les fabricants rendent le patch disponible. Source : bulletin de sécurité Android juin 2026 (Google), entrée KEV CISA CVE-2025-48595, SOCRadar, The Cyber Express.

Impact et exposition

CVE-2025-48595 affecte tout appareil Android 14 à 16 n'ayant pas reçu le patch de juin 2026. L'exploitation nécessite un premier vecteur d'entrée (application malveillante, exploitation d'une autre faille). Dans un contexte de surveillance ciblée, la combinaison avec un exploit de premier échelon permet un accès complet aux données personnelles, communications et localisation. Les organisations gérant des appareils Android BYOD ou corporate sans MDM strict sont particulièrement exposées.

Recommandations

• Appliquer immédiatement le niveau de patch 2026-06-05 sur tous les appareils Android 14, 15 et 16 — vérifier dans Paramètres > À propos du téléphone > Niveau du correctif de sécurité Android
• Forcer la mise à jour via la politique MDM (Microsoft Intune, VMware Workspace ONE, Samsung Knox) avec un délai de conformité maximal de 72 h pour les appareils accédant aux ressources d'entreprise
• Désactiver l'installation d'applications hors Play Store sur les appareils professionnels
• Inventorier les appareils Android 13 et antérieurs dans le parc : sans support de sécurité actif, ils doivent être remplacés ou isolés du réseau d'entreprise
• Pour les profils à risque élevé (dirigeants, juristes, RH sensible) : déployer une solution MTD type Zimperium, Lookout ou SentinelOne Mobile