Na segunda-feira, o Google lançou uma atualização para o Android que corrige duas vulnerabilidades do tipo zero-day que, segundo a empresa, "podem estar sendo exploradas de forma limitada e direcionada". Isso significa que o Google tem conhecimento de que hackers já utilizaram — e possivelmente ainda utilizam — essas falhas para comprometer dispositivos Android em cenários reais.

Uma das falhas corrigidas, identificada como CVE-2024-53197, foi descoberta pela Anistia Internacional em colaboração com Benoît Sevens, do Threat Analysis Group do Google — equipe dedicada a rastrear ciberataques patrocinados por governos. Em fevereiro, a Anistia divulgou que a empresa Cellebrite, conhecida por fornecer dispositivos de desbloqueio e análise forense de celulares para forças policiais, explorava uma cadeia de três vulnerabilidades zero-day para invadir aparelhos Android.

Neste caso específico, a Anistia detectou que as falhas — incluindo a corrigida nesta última atualização — estavam sendo utilizadas contra um ativista estudantil na Sérvia, alvo de autoridades locais que utilizaram ferramentas da Cellebrite para espionagem.

A segunda vulnerabilidade corrigida, CVE-2024-53150, teve poucos detalhes divulgados até o momento. Sabe-se apenas que foi descoberta também por Benoît Sevens e que se encontra no kernel — o núcleo do sistema operacional. O Google afirmou em seu comunicado que "a falha mais grave é uma vulnerabilidade crítica no componente do sistema que pode permitir uma escalada remota de privilégios, sem necessidade de permissões adicionais de execução, nem de interação do usuário".

A empresa também informou que enviaria os patches do código-fonte para ambas as falhas dentro de 48 horas após o comunicado e destacou que seus parceiros Android são notificados sobre todas as vulnerabilidades com pelo menos um mês de antecedência. No entanto, devido à natureza open source do Android, cada fabricante de smartphones precisa aplicar as correções por conta própria em seus dispositivos.

Via - TC