Google korjaa 124 Android-haavoittuvuutta kesäkuun 2026 päivityksessä

Google on julkaissut kesäkuun 2026 Android-tietoturvatiedotteensa, joka korjaa 124 haavoittuvuutta käyttöjärjestelmässä. Niiden joukossa on CVE-2025-48595, korkean vakavuusasteen oikeuksien korotushaavoittuvuus Android Frameworkissa, jonka on vahvistettu olevan aktiivisesti hyödynnetty kohdistetuissa hyökkäyksissä. CVE-tunnuksessa on vuosi 2025, mikä kuvastaa sitä, milloin haavoittuvuus alun perin kirjattiin ja sille annettiin tunnus, kun taas itse korjaustiedosto tulee osana Googlen kesäkuun 2026 kuukausittaista päivityssykliä. Tällainen kuilu haavoittuvuuden löytymisen ja julkisen korjaamisen välillä on yleinen ohjelmistoturvallisuudessa ja korostaa, miksi ajantasaisilla päivityksillä on merkitystä.

Oikeuksien korotushaavoittuvuudet ovat erityisen vakavia, koska ne mahdollistavat hyökkääjälle, jolla on jo jalansija laitteessa – esimerkiksi haitallisen sovelluksen tai tietojenkalastelulinkin kautta – korotetun järjestelmätason pääsyn. Tätä korotettua pääsyä voidaan sitten käyttää muiden sovellusten tietojen lukemiseen, verkkoliikenteen sieppaamiseen tai suojausten poistamiseen kokonaan.

Miksi tämä haavoittuvuus on erityinen riski yksityisyyttä painottaville käyttäjille

Kaikille, jotka luottavat Androidiin yksityisyyttä vaativissa toiminnoissa, mukaan lukien käyttäjät, jotka käyttävät VPN-sovelluksia liikenteensä salaamiseen, oikeuksien korotushaavoittuvuus kuten CVE-2025-48595 on muutakin kuin rutiinitiedote. Järjestelmätasolla vaarantunut laite voi heikentää suojauksia, jotka toimivat sovelluskerroksella. Käytännössä VPN-sovellus, joka toimii laitteessa, jossa hyökkääjä on saavuttanut korotetut oikeudet, voi joutua liikenteen sieppauksen kohteeksi, sen katkaisukytkin voidaan ohittaa tai sen tunnistetiedot paljastaa, riippumatta siitä, kuinka hyvin itse VPN-ohjelmisto on rakennettu.

Tämä on ratkaiseva ero. VPN suojaa tietojasi siirrettäessä laitteesi ja etäpalvelimen välillä. Se ei suojaa uhkia vastaan, jotka ovat jo sisällä laitteessasi. Siksi mobiilin yksityisyyden suojamalli edellyttää sekä luotettavaa VPN:ää että täysin päivitettyä käyttöjärjestelmää, jotka toimivat yhdessä. Jos käytät palvelua, joka korostaa lokittomuusarkkitehtuuria ja salattua tunnelointia, kuten Surfshark, nämä suojaukset ovat vain niin vahvoja kuin laitteen taustalla oleva tietoturva.

Jotkut turvallisuustietoiset käyttäjät luottavat myös VPN-paketteihin, jotka sisältävät virustorjunta- ja uhkientunnistusominaisuuksia. Tuotteet, kuten Avast VPN, yhdistävät verkkosalauksen laajempaan laiteturvallisuuden valvontaan, mutta jopa nämä työkalut riippuvat laitteen käyttöjärjestelmän eheydestä toimiakseen oikein. Järjestelmätason oikeuksien korotushaavoittuvuus on näiden suojausten alapuolella.

Kuinka asentaa kesäkuun 2026 Android-tietoturvapäivitys

Tämän päivityksen asentamisen pitäisi olla suoraviivainen prosessi useimmille Android-käyttäjille, vaikka aikataulu vaihtelee laitetoimittajasta riippuen.

Pixel-laitteille päivitys on nyt saatavilla tavallisen järjestelmäpäivitysvalikon kautta kohdasta Asetukset, sitten Järjestelmä, sitten Järjestelmäpäivitys. Googlen oma laitteisto vastaanottaa korjaukset yleensä samana päivänä kuin tiedote julkaistaan.

Samsungin, OnePlussan, Motorolan ja muiden valmistajien laitteille päivitys jaellaan kunkin yhtiön oman päivitysaikataulun mukaan. Monet huippumallit saavat nämä korjaukset muutaman viikon kuluessa Googlen julkaisusta, mutta vanhemmat tai keskihintaiset laitteet voivat kokea pidempiä viiveitä, ja jotkut eivät välttämättä saa korjausta lainkaan, jos ne ovat valmistajan tukiajan ulkopuolella.

Tarkistaaksesi nykyisen korjaustason, siirry kohtaan Asetukset, sitten Tietoja puhelimesta, sitten Android-tietoturvakorjaustaso. Jos laitteesi näyttää päivämäärän, joka on ennen kesäkuuta 2026, saatavilla olevien päivitysten tarkistaminen on oikea seuraava askel.

Mitä tämä tarkoittaa sinulle

Vahvistus siitä, että CVE-2025-48595 on aktiivisesti hyödynnettynä, tarkoittaa, ettei tämä ole teoreettinen riski. Todelliset hyökkääjät käyttävät tätä haavoittuvuutta todellisia laitteita vastaan juuri nyt. Ei ole täysin julkisesti kerrottu, keitä vastaan hyökkäykset on kohdistettu – tavallisia käyttäjiä vai tiettyjä korkean arvon henkilöitä – mutta korjaamatta jättäminen altistaa tarpeettomasti.

Tässä ovat käytännön toimet, jotka kannattaa tehdä heti:

  • Tarkista Android-tietoturvakorjaustasosi ja asenna kesäkuun 2026 päivitys heti, jos saatavilla.
  • Ota automaattiset päivitykset käyttöön, jotta tulevat korjaukset asennetaan ilman manuaalista toimenpidettä.
  • Tarkista sovellusoikeudet laitteellasi, erityisesti äskettäin asennetuissa sovelluksissa. Oikeuksien korotushyökkäys vaatii jonkinlaisen alkuperäisen pääsyn, usein haitallisen tai vaarantuneen sovelluksen kautta.
  • Käytä hyvämaineista VPN:ää mobiililaitteellasi liikenteen salaamiseen siirron aikana, mutta ymmärrä, että tämä on yksi suojauskerros, ei täydellinen korvike käyttöjärjestelmätason turvallisuudelle.
  • Harkitse laitteesi tukitilannetta. Jos puhelimesi ei enää saa tietoturvapäivityksiä valmistajalta, se on käytännössä suojaton tunnettuja hyväksikäyttöjä vastaan. Päivittäminen tuettuun laitteeseen on vakavasti harkittavaa.

Googlen kesäkuun 2026 Android-tietoturvapäivitys on yksi suurimmista, jonka yhtiö on tänä vuonna julkaissut korjattujen haavoittuvuuksien kokonaismäärässä mitattuna. Korjaaminen nopeasti, eri suojauskerrosten vuorovaikutuksen ymmärtäminen ja realististen odotusten ylläpitäminen siitä, mitä mikään yksittäinen työkalu voi suojata, ovat järkevän mobiiliturvallisuuskäytännön perusta.