Na segunda-feira, o Google lançou uma atualização para o Android que corrige duas falhas de zero dias que “podem estar sob exploração limitada e direcionada”, como a empresa colocou. Isso significa que o Google está ciente de que os hackers foram e ainda podem estar usando os bugs para comprometer os dispositivos Android em cenários do mundo real.
Um dos dois zero dias agora fixados, rastreado como CVE-2024-53197, foi identificado pela Anistia Internacional em colaboração com os setes de Benoît do grupo de análise de ameaças do Google, a equipe de segurança da gigante da tecnologia que rastreia os cyberattacks apoiados pelo governo.
Em fevereiro, a Anistia disse que descobriu que a Cellebrite, uma empresa que vende dispositivos para a aplicação da lei para desbloquear e analisar forensicamente telefones, estava aproveitando uma cadeia de três vulnerabilidades de dia zero para invadir telefones Android.
Contate-nos
Você tem mais informações sobre o Android Zero-Days? A partir de um dispositivo que não é de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no sinal em +1 917 257 1382, ou via telegrama e keybase @lorenzofb ou email. Você também pode entrar em contato com o TechCrunch via Securedrop.
Nesse caso, a Anistia encontrou as vulnerabilidades, incluindo a de segunda -feira, sendo usada contra um ativista estudantil sérvio por autoridades locais armadas com Cellebrite.
Não há muita informação, no entanto, na segunda vulnerabilidade, CVE-2024-53150, corrigida na segunda-feira, além do fato de que sua descoberta também foi creditada aos setes do Google e que a falha foi encontrada no kernel, o núcleo de um sistema operacional.
O Google não respondeu imediatamente a um pedido de comentário.
A porta-voz da Anistia, Hajira Maryam, disse que a organização sem fins lucrativos não tem nada a compartilhar neste momento.
A gigante da tecnologia disse em seu aviso que “a mais grave dessas questões é uma vulnerabilidade crítica de segurança no componente do sistema que pode levar à escalada remota de privilégio, sem privilégios adicionais de execução necessários” e que “a interação do usuário não é necessária para exploração”.
O Google disse que levaria os patches de código-fonte para os dois dias zero fixo dentro de 48 horas após o aviso, além de observar que os parceiros do Android são “notificados de todos os problemas pelo menos um mês antes da publicação”.
Dada a natureza de código aberto do Android, todo fabricante de telefones agora precisa empurrar patches para seus próprios usuários.
Esta história foi atualizada para incluir a resposta da Anistia.