Polícia sérvia usou vunerabilidade zero-day desbloquear celulares Android

Autoridades sérvias utilizaram uma cadeia de exploits inédita (zero-day) no sistema Android, desenvolvida pela Cellebrite, para desbloquear o celular de um ativista estudantil no país e tentar instalar um programa espião. A Cellebrite, uma empresa israelense especializada em perícia digital, cria ferramentas amplamente usadas por forças policiais, agências de inteligência e empresas privadas para extrair dados de smartphones e outros dispositivos digitais.

Empresas como a Cellebrite frequentemente recorrem a vulnerabilidades zero-day para acessar e coletar informações protegidas em aparelhos bloqueados. Esse caso específico foi descoberto pelo Security Lab da Anistia Internacional em meados de 2024, durante uma análise forense dos registros do dispositivo afetado. A organização já havia denunciado abusos de direitos de privacidade na Sérvia em dezembro de 2024. Diante das revelações, a Cellebrite anunciou nesta semana que bloqueou o acesso de seus serviços às forças de segurança do país (BIA).

Após a Anistia compartilhar suas descobertas com o Grupo de Análise de Ameaças (TAG) do Google, os pesquisadores identificaram três vulnerabilidades nos drivers USB do kernel Linux, também utilizados no Android, exploradas como zero-days. As falhas são:

• CVE-2024-53104 (exploit na classe de vídeo USB);

• CVE-2024-53197 (exploit no driver de som USB ALSA);

• CVE-2024-50302 (exploit em dispositivos USB HID).

A primeira vulnerabilidade foi corrigida nos updates de segurança do Android de fevereiro de 2025, classificada como "em exploração limitada e direcionada". As outras duas ainda não foram anunciadas como corrigidas em boletins de segurança do Android, e o tempo para a atualização pode variar conforme o modelo do dispositivo e a frequência com que os fabricantes atualizam o kernel.

Donncha O’Cearbhaill, chefe do Security Lab da Anistia, informou ao BleepingComputer que corrigir a CVE-2024-53104 pode ser suficiente para interromper toda a cadeia de exploração, embora não haja certeza absoluta. O GrapheneOS, uma distribuição alternativa do Android, afirmou ao BleepingComputer que já possui correções para as falhas CVE-2024-53197 e CVE-2024-50302, graças à sua prática de atualizar regularmente o kernel Linux.

O Google informou ao BleepingComputer, após a publicação, que compartilhou correções para essas vulnerabilidades com parceiros OEM em 18 de janeiro de 2025. “Estávamos cientes dessas vulnerabilidades e do risco de exploração antes desses relatórios e desenvolvemos correções rapidamente para o Android. As soluções foram compartilhadas com parceiros OEM em um comunicado em 18 de janeiro”, disse um porta-voz do Google. “Esses CVEs serão incluídos em futuros boletins de segurança do Android e exigidos pelo nível de patch de segurança (SPL). Recomendamos sempre que os usuários atualizem seus dispositivos assim que patches ou atualizações de software estiverem disponíveis.”

Drivers USB sob ataque

Exploits USB geralmente se aproveitam de brechas no sistema USB de um dispositivo, como drivers, firmware ou componentes do kernel, para obter acesso não autorizado ou controle do sistema. Esses ataques podem corromper a memória para executar códigos arbitrários, injetar comandos maliciosos ou contornar telas de bloqueio. Um fator atenuante é a necessidade de acesso físico ao dispositivo alvo. Nesse caso, e em muitos outros semelhantes, essa condição foi facilmente atendida pela polícia ao deter o ativista e confiscar seu celular.

Em abril de 2024, o Google corrigiu duas falhas zero-day (CVE-2024-29745 e CVE-2024-29748), exploradas por empresas forenses para desbloquear celulares sem PIN, implementando a limpeza de memória antes de habilitar o USB. No início deste mês, a Apple corrigiu uma vulnerabilidade zero-day (CVE-2025-24200), usada pela Cellebrite e GrayKey para burlar o Modo Restrito USB e extrair dados de iPhones.

O Android padrão não possui um equivalente direto ao Modo Restrito USB da Apple. Ainda assim, os usuários podem reduzir o risco desativando a depuração USB (ADB), configurando o modo de conexão do cabo como “Apenas carga” e ativando a criptografia total do disco (Configurações → Segurança e privacidade → Mais segurança e privacidade → Criptografia e credenciais → Criptografar telefone).

Via - BC