O Google corrigiu duas falhas do tipo “dia zero” ativamente exploradas no Android. A empresa não deu detalhes sobre como as vulnerabilidades foram aproveitadas por criminosos.
As brechas foram identificadas pelos códigos CVE-2024-43047 e CVE-2024-43093. Na documentação divulgada pelo Google, os ataques foram limitados e direcionados.
A falha CVE-2024-43047 foi reportada no começo de outubro deste ano. A ameaça foi descoberta pelo grupo Thread Analysis do Google e afetava chipsets da Qualcomm, como o Snapdragon 8 Gen 1 — processador do Galaxy S22 e outros topos de linha de 2021.
Por outro lado, a vulnerabilidade CVE-2024-43093 possibilitava o escalonamento de privilégios no componente Android Framework. Essa permissão garantia acesso aos diretórios “data”, “obb” e “sandbox” do sistema operacional.
Ataques foram limitados e direcionados
Não foram divulgados documentos sobre como as brechas foram exploradas. Contudo, por se tratar de um ataque direcionado, não deve ter atingido o público geral.
O mesmo patch de segurança de novembro também corrigiu 49 outros problemas. Somente uma delas é categorizada como crítica, a CVE-2024-38408, também presente em componentes da Qualcomm.
O patch de segurança do Google é distribuído para os Android 12, 13, 14 e 15. Algumas das correções são destinadas a iterações específicas do sistema operacional.
Agora, cabe às fabricantes preparar o patch e redistribuir a correção para os próprios consumidores. Naturalmente, seu dispositivo só deve receber o update se ainda estiver no tempo de suporte da marca.