A Google lançou a atualização de segurança de agosto de 2025 para o Android, corrigindo um total de seis vulnerabilidades. O destaque vai para duas falhas em componentes da Qualcomm que já estavam a ser exploradas ativamente por atacantes em ciberataques direcionados.
As falhas de segurança exploradas ativamente
As duas vulnerabilidades mais preocupantes, identificadas como CVE-2025-21479 e CVE-2025-27038, foram reportadas à equipa de segurança do Android no final de janeiro de 2025.
A primeira falha (CVE-2025-21479) é uma vulnerabilidade de autorização incorreta na estrutura gráfica. Em termos simples, permite que uma sequência específica de comandos leve à corrupção da memória através da execução de um comando não autorizado no micronúcleo da GPU.
A segunda (CVE-2025-27038) é uma vulnerabilidade do tipo "use-after-free", que provoca a corrupção de memória durante a renderização de gráficos com os drivers da GPU Adreno no navegador Chrome.
A cronologia da resposta
Apesar de a Google estar a lançar a correção pública agora, a Qualcomm, a gigante de tecnologia sem fios, já tinha disponibilizado as correções aos fabricantes de equipamento original (OEMs) em maio. Na altura, a empresa emitiu um forte alerta, indicando que o Grupo de Análise de Ameaças da Google tinha encontrado provas de que estas falhas poderiam estar "sob exploração limitada e direcionada".
Reforçando a gravidade da situação, a agência de cibersegurança norte-americana, CISA, adicionou as duas vulnerabilidades ao seu catálogo de falhas ativamente exploradas no dia 3 de junho, ordenando que as agências federais protegessem os seus dispositivos até ao dia 24 do mesmo mês.
Mais correções críticas na atualização de agosto
Para além das falhas da Qualcomm, a atualização deste mês corrige também uma vulnerabilidade de segurança crítica no componente "System" do Android. Atacantes sem privilégios poderiam explorar esta falha para conseguir a execução remota de código, desde que a encadeassem com outras vulnerabilidades, num tipo de ataque que não exige qualquer interação por parte do utilizador.
A Google disponibilizou dois níveis de patch de segurança: o 2025-08-01 e o 2025-08-05. O segundo é o mais completo, englobando todas as correções do primeiro e adicionando patches para componentes de código fechado de terceiros e do kernel, que podem não se aplicar a todos os dispositivos Android.
Quando vou receber a atualização?
Como é habitual, os dispositivos Google Pixel recebem as atualizações de forma imediata. No entanto, os utilizadores de outras marcas terão de aguardar que os respetivos fabricantes testem e adaptem as correções para as suas configurações de hardware específicas, um processo que pode demorar algum tempo.
Este cenário não é novo. Em março, a Google já tinha corrigido duas vulnerabilidades "zero-day" exploradas pelas autoridades sérvias para desbloquear dispositivos Android confiscados. Em novembro passado, a empresa abordou outra falha (CVE-2024-43047) usada pelo mesmo governo em ataques de spyware NoviSpy.
Nenhum comentário
Seja o primeiro!