A Google corrigiu uma vulnerabilidade crítica no kernel do sistema operacional Android que, segundo a empresa, já estava sendo explorada por cibercriminosos. A falha, identificada como CVE-2024-36971, permite a execução remota de código e foi classificada como de alta severidade.
De acordo com o boletim de segurança mensal da Google para agosto de 2024, há indícios de que a vulnerabilidade está sendo usada em ataques direcionados e limitados. A empresa não divulgou detalhes sobre a natureza dos ataques ou o grupo responsável, mas Clement Lecigne, da equipe de análise de ameaças da Google (TAG), foi creditado pela descoberta da falha. Isso sugere que a exploração provavelmente está sendo feita por empresas de spyware comercial para invadir dispositivos Android em ataques altamente específicos.
Além dessa grave falha no kernel, a atualização de agosto também corrigiu outras 46 vulnerabilidades, incluindo problemas em componentes de empresas como Arm, Imagination Technologies, MediaTek e Qualcomm. Entre as falhas corrigidas, há 12 que permitem escalada de privilégios, uma de divulgação de informações e outra que pode causar negação de serviço (DoS) no Android Framework.
Essa não é a primeira vez este ano que a Google revela falhas no Android sendo exploradas em ataques. Em junho, a empresa divulgou que uma vulnerabilidade de elevação de privilégios no firmware do Pixel (CVE-2024-32896) também havia sido utilizada em ataques direcionados. Posteriormente, a Google confirmou que o problema afetava não apenas os dispositivos Pixel, mas toda a plataforma Android, e está trabalhando com fabricantes de celulares para aplicar as correções necessárias.
A corrida para corrigir vulnerabilidades críticas ganha ainda mais urgência com a inclusão, pela Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA), da falha CVE-2018-0824 no catálogo de Vulnerabilidades Conhecidamente Exploradas (KEV). Essa falha no Microsoft COM for Windows permite execução remota de código e foi usada por um grupo de hackers patrocinado pelo estado chinês, conhecido como APT41, em um ataque contra um instituto de pesquisa taiwanês. As agências federais americanas têm até 26 de agosto para aplicar a correção.