Google corrige vulnerabilidade crítica no Android que ameaça milhões de utilizadores

A Google emitiu um alerta de segurança crítico para dispositivos Android, divulgado no Boletim de Segurança de novembro de 2025, com correções para duas vulnerabilidades na componente Sistema.

O destaque vai para uma falha crítica de execução remota de código que afeta diversas versões do Android Open Source Project (AOSP), com riscos contínuos nos sistemas operativos móveis, dada a sensibilidade dos dados que os smartphones processam. Embora a empresa não tenha confirmado a exploração destas falhas em ataques reais, as vulnerabilidades representam ameaças significativas para milhões de utilizadores em todo o mundo.

A principal preocupação centra-se na vulnerabilidade CVE-2025-48593, classificada como crítica devido ao seu potencial elevado. Esta falha de execução remota de código, descoberta na componente Sistema e corrigida nas versões 13 a 16 do AOSP, não requer privilégios adicionais nem interação do utilizador.

O seu potencial impacto é severo, podendo comprometer totalmente o dispositivo, resultando em roubo de dados, implementação de ransomware ou a transformação do telemóvel num nó de botnet.

A segunda vulnerabilidade resolvida este mês é identificada como CVE-2025-48581, que afeta dispositivos com a versão 16 do Android. Segundo um comunicado do NIST, a falha reside na função VerifyNoOverlapInSessions do ficheiro apex.cpp, e é descrita como “uma forma possível de bloquear atualizações de segurança através de instalações da versão principal do sistema devido a um erro lógico no código”. Isto pode levar à escalada de privilégios locais sem a necessidade de privilégios adicionais.

O lançamento destas correções de novembro de 2025 marca uma mudança no formato das atualizações mensais da Google, que agora passam a ser distribuídas com apenas um nível de correções de segurança.