O Google lançou um patch de emergência para Android que aborda duas vulnerabilidades de dia zero que, segundo a empresa, já podem ser usadas por hackers em ataques no mundo real. Os ataques são possíveis por meio de escalonamento de privilégios em dispositivos e não exigem nenhuma ação dos usuários.
Fonte da imagem: Mateusz Tworuszka/Unsplash
Uma das vulnerabilidades, identificada como CVE-2024-53197, foi identificada por especialistas da Anistia Internacional em conjunto com Benoît Sevens, membro da Equipe de Análise de Segurança e Ameaças do Google. Este grupo se dedica a rastrear ataques cibernéticos originados de agências governamentais. Por exemplo, em fevereiro, a Anistia Internacional relatou que a Cellebrite, uma empresa que desenvolve ferramentas para agências de segurança pública, usou uma cadeia de três vulnerabilidades de dia zero para hackear dispositivos Android.
De acordo com o TechCrunch, uma dessas vulnerabilidades foi usada contra um estudante ativista sérvio por autoridades locais usando tecnologia da Cellebrite. Foi essa vulnerabilidade que foi corrigida em um patch lançado esta semana. No entanto, os detalhes do segundo bug corrigido, CVE-2024-53150, permanecem obscuros. Tudo o que se sabe é que sua descoberta também é atribuída a Benoit Sevens, e o problema em si afeta o kernel do sistema operacional.
Em sua declaração oficial, o Google observou que “o problema mais sério é uma vulnerabilidade crítica no componente do sistema que pode levar à escalada remota de privilégios sem direitos de acesso adicionais”. Ressalta-se também que a exploração da vulnerabilidade não exige nenhuma ação por parte do usuário, podendo ele nem mesmo estar ciente do que está acontecendo.
O Google disse que o código-fonte para corrigir as duas vulnerabilidades seria publicado dentro de 48 horas após o lançamento do boletim de segurança e também enfatizou que seus parceiros — fabricantes de dispositivos Android — tradicionalmente recebem informações sobre esses problemas pelo menos um mês antes do lançamento público das atualizações.
Também é importante destacar que, como o sistema operacional Android é baseado em código aberto, cada fabricante de telefones agora terá que distribuir atualizações de forma independente para seus usuários.