O Google lançou patches que fecham várias vulnerabilidades identificadas no sistema operacional Android, incluindo três das mais perigosas: duas delas receberam o status de crítica e a terceira, segundo a empresa, foi explorada por invasores.
Listando os detalhes no Relatório de segurança do Android de abril de 2023, o Google esclareceu que CVE-2023-21085, CVE-2023-21096 e CVE-2022-38181 receberam as vulnerabilidades mais perigosas. A primeira e a segunda são vulnerabilidades do Android que permitem que o código seja executado remotamente sem privilégios adicionais para um invasor. É verdade que só podem ser explorados por meio de um ataque de phishing, ou seja, seu trabalho exige a participação de uma vítima em potencial, ainda que inconscientemente.
O terceiro foi encontrado no driver da GPU Arm Mali – é explorado por invasores desde o final do ano passado, porém, a empresa não especificou quais hackers recorreram a essa ferramenta, e quem foi a vítima do ataque. A vulnerabilidade permitia que invasores elevassem privilégios sem interação do usuário.
No total, em abril, o Google lançou dois patches do Android: o primeiro visava corrigir erros no próprio sistema, o segundo estava relacionado ao núcleo Arm e aos componentes lançados pelos parceiros da empresa: Imagination Technologies, MediaTek, UNISOC e Qualcomm. No total, mais de 60 vulnerabilidades foram fechadas. Infelizmente, devido à fragmentação do Android, o lançamento de atualizações depende dos fabricantes de dispositivos – smartphones e tablets compatíveis devem recebê-los em breve.