Duas falhas zero-day corrigidas no Android com atualização de Novembro

Android com garras

A Google confirmou ter corrigido duas falhas de segurança zero-day, como parte da atualização de Novembro para o Android. Esta atualização integra ainda a correção para 51 outras vulnerabilidades no sistema.

As duas falhas zero-day, CVE-2024-43047 e CVE-2024-43093, foram confirmadas como estando a ser usadas para ataques direcionados. Acredita-se que tenham sido usadas para ataques direcionados a pessoas específicas, e para fins de espionagem.

Ambas as falhas podem permitir aos atacantes enviarem códigos potencialmente maliciosos para o sistema, o que pode permitir o acesso aos mesmos ou a informação existente nestes. A primeira falha encontra-se associada com o código fonte da Qualcomm, embora se interligue diretamente ao kernel do Android.

A falha foi inicialmente descoberta em Outubro de 2024 pela Qualcomm, e afetava o Digital Signal Processor (DSP).

Quanto à falha CVE-2024-43093, esta diz respeito diretamente ao Android, e pode permitir que os atacantes usem os componentes do sistema para realizar ataques direcionados. A Google não revelou quem descobriu esta falha.

De todas as restantes falhas corrigidas com a atualização de Novembro da Google para Android, apenas uma é considerada como crítica. Todas as restantes dizem respeito a correções regulares do sistema. A atualização encontra-se agora a ser disponibilizada de forma gradual, sendo que pode demorar algumas semanas a chegar a todos os dispositivos.

Os utilizadores podem rapidamente procurar pelas atualizações via o sistema OTA dos seus dispositivos, onde estas podem começar a ficar disponíveis. De relembrar que a disponibilidade será gradual, portanto não ficará acessível para todos ao mesmo tempo.

Tendo em conta que o Android 11 já não é oficialmente suportado pela Google, os dispositivos que ainda se encontrem com o mesmo podem não chegar a receber a atualização.