Google corrige 62 falhas de segurança no Android, incluindo zero day

A Google lançou correções para 62 vulnerabilidades na atualização de segurança de abril de 2025 do Android, incluindo soluções para duas vulnerabilidades zero day que estavam a ser exploradas em ataques direcionados.

Uma dessas vulnerabilidades zero day, uma falha de elevação de privilégios de alta gravidade no controlador de áudio USB do kernel Linux para dispositivos ALSA, terá sido explorada pelas autoridades sérvias para desbloquear dispositivos Android confiscados, como parte de uma cadeia de exploração zero day desenvolvida pela empresa israelita de perícia digital Cellebrite.

Esta cadeia de exploração, que também incluía uma vulnerabilidade zero day na USB Video Class, corrigida em fevereiro, e outra em dispositivos Human Interface Devices, corrigida em março, foi descoberta pelo Laboratório de Segurança da Amnistia Internacional em meados de 2024, durante a análise dos registos encontrados em dispositivos desbloqueados pela polícia sérvia.

“Estávamos cientes destas vulnerabilidades e dos riscos de exploração antes destes relatórios, e desenvolvemos prontamente correções para o Android. As correções foram partilhadas com os parceiros OEM num comunicado enviado a 18 de janeiro”, afirmou um porta-voz da Google em declarações ao BleepingComputer.

A segunda correção dirigida a uma vulnerabilidade zero day resolve uma falha de divulgação de informações no kernel do Android, causada por uma leitura fora dos limites, que permite a cibercriminosos locais aceder a dados confidenciais em dispositivos vulneráveis, sem qualquer interação do utilizador.