严重的 Android“零交互”漏洞可引发拒绝服务攻击

谷歌已发布备受期待的 2026 年 4 月安卓安全公告，为全球数百万台安卓设备带来了关键的安全补丁。

本月更新中最紧迫的问题是 CVE-2026-0049，这是一个位于安卓核心框架中的“零交互”关键漏洞。若被利用，攻击者可在无需任何用户操作或提升权限的情况下，触发本地拒绝服务（DoS）攻击。

为了防御这些新出现的威胁，谷歌强烈建议所有安卓用户立即应用最新的安全更新。

安卓“零交互”漏洞
2026 年 4 月公告的核心是 CVE-2026-0049，这是一个直接影响安卓框架的关键漏洞。该漏洞尤为危险，因为它是一种“零交互”利用。这意味着攻击者无需诱骗受害者点击恶意链接、下载被入侵的应用或授予特殊设备权限。

一旦成功利用，CVE-2026-0049 会导致本地拒绝服务（DoS）。在 DoS 攻击中，受影响的设备或其关键后台服务会完全无响应或意外崩溃。这会严重破坏用户体验，甚至可能导致设备暂时无法使用。由于攻击完全不需要额外的执行权限，恶意行为者的攻击门槛低得惊人。

这一关键框架漏洞影响多个近期安卓操作系统版本，具体包括 Android 14、15、16 以及 16-qpr2 版本。谷歌确认，将在公告首次发布后 48 小时内将相应的源代码补丁发布到安卓开源项目（AOSP）代码库中。

除了关键框架漏洞外，4 月更新还修复了另一个重要的安全问题，编号为 CVE-2025-48651。这是一个高严重性漏洞，影响 StrongBox 组件。StrongBox 是一个基于硬件的安全密钥存储系统，用于保护设备上高度敏感的加密密钥。

CVE-2025-48651 是一个影响多个主要厂商 StrongBox 实现的广泛硬件问题。安全公告特别指出，来自谷歌、恩智浦（NXP）、意法半导体（STMicroelectronics）和泰雷兹（Thales）的组件均受此高严重性漏洞影响。由于 StrongBox 旨在成为设备最关键加密数据的终极保险箱，修补该漏洞对于维持设备的整体完整性至关重要。

缓解措施
为了有效分发这些关键修复，谷歌将更新分为两个不同的安全补丁级别：

• 2026-04-01 补丁级别：此初始补丁级别修复了核心安卓操作系统的漏洞，包括关键框架漏洞 CVE-2026-0049。
  
  
• 2026-04-05 补丁级别：此二级补丁级别包含上一补丁级别的所有修复，并解决了特定厂商的硬件问题，例如 StrongBox 漏洞。
  

设备制造商已至少提前一个月收到这些漏洞的通知，使其有时间准备和测试面向用户的安全更新。

要验证您的设备是否受保护，请导航至设备的设置菜单，检查当前的安全补丁级别。如果日期字符串为 2026-04-05 或更高，则表示您的设备已完全针对 4 月公告中详述的所有漏洞得到保护。

此外，Google Play Protect 提供了内置防御机制，即使在补丁部署之前也会主动监控有害应用。用户应尽快安装 2026 年 4 月更新，以防止潜在的 DoS 风险。