A Qualcomm lançou correções para três vulnerabilidades zero-day que estavam sendo exploradas em ataques direcionados e silenciosos contra dispositivos Android. As falhas, todas relacionadas à GPU Adreno, representam sérios riscos de segurança, afetando diretamente a integridade do sistema gráfico em smartphones com chips da fabricante.
Vulnerabilidades zero-day exploradas ativamente
As falhas corrigidas foram reportadas pela equipe de segurança do Android, do Google, e receberam classificações de alta gravidade:
- CVE-2025-21479 e CVE-2025-21480: Ambas apresentam pontuação CVSS 8.6 e se referem a problemas de autorização incorreta no componente gráfico. Essas vulnerabilidades permitem a execução de comandos não autorizados no microcódigo da GPU, o que pode levar à corrupção de memória.
- CVE-2025-27038: Com pontuação CVSS 7.5, trata-se de uma falha do tipo use-after-free no mesmo componente gráfico, que pode ser explorada durante o processo de renderização de gráficos, especialmente via o navegador Chrome, resultando também em corrupção de memória.
Segundo a Qualcomm, há evidências do Google Threat Analysis Group indicando que essas falhas estão sendo exploradas de forma limitada e direcionada.
Riscos para usuários e histórico de exploração
Embora a Qualcomm não tenha detalhado publicamente como ou por quem as falhas estão sendo exploradas, o histórico de vulnerabilidades em chipsets da empresa aponta para um padrão preocupante. Casos anteriores, como as falhas CVE-2023-33063, CVE-2023-33106 e CVE-2023-33107, foram utilizadas por fornecedores de spyware como Variston e Cy4Gate para comprometer dispositivos Android em campanhas sofisticadas de vigilância.
Além disso, uma investigação da Anistia Internacional, divulgada em dezembro passado, revelou que a Agência Sérvia de Informações de Segurança (BIA) usou outra falha da Qualcomm, CVE-2024-43047, para desbloquear celulares de jornalistas e ativistas por meio do software de extração da Cellebrite, implantando posteriormente o spyware NoviSpy.
[Link Externo: https://www.qualcomm.com/company/product-security/bulletins|Comunicado oficial da Qualcomm] – Inserir no parágrafo acima sobre a exploração das falhas.
Atualizações já foram enviadas aos fabricantes
A Qualcomm confirmou que os patches para as três falhas foram disponibilizados aos fabricantes de dispositivos (OEMs) em maio de 2025, com uma recomendação urgente para que as atualizações sejam implantadas o mais rápido possível.
A ausência de uma distribuição ágil por parte das fabricantes pode deixar milhões de usuários vulneráveis, uma vez que os drivers da GPU Adreno estão presentes em uma ampla gama de smartphones Android, incluindo linhas populares de marcas como Samsung, Motorola, Xiaomi e OnePlus.
[Link Interno: https://sempreupdate.com.br/categoria/android/seguranca-android/|segurança no Android] – Inserir no parágrafo sobre a disseminação das GPUs Adreno.
Impacto e perspectiva para o ecossistema Android
A recorrência de falhas críticas nos chips da Qualcomm levanta alertas sobre a segurança do ecossistema Android, especialmente considerando o uso crescente de ferramentas de spyware por governos e grupos privados.
Embora a Qualcomm tenha reagido rapidamente neste caso, a falta de transparência sobre o vetor de ataque e os alvos específicos dificulta a proteção proativa dos usuários. Isso evidencia uma necessidade urgente de melhoria nos processos de auditoria de firmware e microcódigo, especialmente em componentes sensíveis como GPUs.
Conclusão
A correção das falhas CVE-2025-21479, CVE-2025-21480 e CVE-2025-27038 mostra que a segurança de hardware no Android continua sendo um ponto crítico. Usuários e administradores devem ficar atentos às atualizações de segurança disponibilizadas pelos fabricantes e manter seus dispositivos atualizados para evitar a exploração ativa de vulnerabilidades.
