Google alerta sobre duas falhas graves no Android já exploradas: instale a atualização de setembro agora

Todos os meses, o Google divulga o Boletim de Segurança do Android, detalhando vulnerabilidades descobertas e corrigidas. Na maioria das vezes, essas falhas ainda não foram exploradas quando o patch chega aos usuários. Mas em setembro de 2025 a situação foi diferente e bem mais séria: duas falhas críticas – CVE-2025-38352 e CVE-2025-48543 – já estão sendo usadas em ataques reais, segundo a própria empresa.

Isso muda tudo. Uma falha sem exploração ativa é um risco potencial. Mas quando o Google avisa que criminosos já a estão aproveitando, a atualização deixa de ser opcional e passa a ser urgente. E esse é exatamente o caso agora.

A primeira falha: CVE-2025-38352

A CVE-2025-38352 afeta o núcleo do Android (Kernel), a parte central que garante o funcionamento do sistema. O problema acontece em um mecanismo que administra alarmes e temporizadores usados por aplicativos. Quando dois processos tentam limpar esses alarmes ao mesmo tempo, ocorre uma falha de sincronização. Esse conflito pode abrir caminho para que um invasor eleve privilégios e acesse partes do sistema que normalmente estão fora do alcance de aplicativos comuns.

Uma vulnerabilidade no Kernel é especialmente perigosa porque permite que o malware se esconda em áreas profundas do sistema, difíceis de detectar ou remover. O Google corrigiu a falha no patch de setembro de 2025. Para conferir se o seu celular já recebeu a correção, vá em Configurações > Sobre o telefone > Versão do Android > Atualização de segurança. Se a data for 5 de setembro de 2025 ou posterior, você está protegido. Caso contrário, atualize imediatamente.

A segunda falha: CVE-2025-48543

A outra falha explorada, CVE-2025-48543, está no Android Runtime (ART) – o ambiente que executa aplicativos. Trata-se de um erro na manipulação de memória. Imagine um hotel que libera um quarto, entrega a chave ao hóspede, mas ao desocupar o quarto esquece de invalidar essa chave. Mesmo vazio, ainda é possível entrar. Hackers podem usar esse “cartão fantasma” para ganhar privilégios além do permitido.

Com acesso elevado, um aplicativo malicioso poderia assumir processos do sistema e roubar dados sensíveis, incluindo senhas, informações de apps bancários e credenciais de login. Essa falha também foi corrigida no patch de setembro. Qualquer atualização com data a partir de 1º de setembro de 2025 elimina o risco.

Por que isso é mais grave

As duas falhas têm um agravante: não exigem nenhuma ação do usuário para serem exploradas. Na maior parte dos golpes, os criminosos precisam induzir a vítima a clicar em um link ou aprovar uma permissão. Aqui, basta o malware estar no dispositivo. O ataque ocorre em segundo plano, sem que o usuário perceba.

Pense em um aplicativo de desenho ou calculadora baixado fora da Play Store. Normalmente, o app malicioso tentaria enganar você em um clique extra. Mas neste caso, nada disso é necessário. Assim que o app é instalado, a exploração começa automaticamente.

O que fazer agora

O Google recomenda algumas medidas simples e indispensáveis:

• Atualize o dispositivo com o patch de setembro de 2025 sem demora.
• Instale apenas aplicativos da Google Play Store. Evite lojas de terceiros.
• Mantenha o Google Play Protect ativado. Ele analisa apps e ajuda a barrar comportamentos suspeitos.
• Trate as atualizações mensais como obrigação. Não são opcionais: são a primeira linha de defesa contra ataques ativos.

Quem está sendo alvo

O Google acredita que, até agora, as falhas têm sido usadas em ataques direcionados a grupos específicos como jornalistas, ativistas e funcionários do governo. Porém, a história mostra que técnicas sofisticadas acabam sendo copiadas e aplicadas em ataques em massa. Ou seja, não importa se você se considera um alvo ou não – atualizar é a única proteção confiável.

O Android está presente em bilhões de dispositivos no mundo todo, e essa escala gigantesca o torna alvo constante de criminosos digitais. O boletim de setembro de 2025 deixa claro que negligenciar atualizações significa abrir mão de segurança básica. A única forma de reduzir o risco é manter o sistema atualizado.

Além desse alerta, o Google aproveitou para anunciar uma novidade mais leve: o lançamento do livro “Iconic Phones: Revolution at Your Fingertips”, que celebra os celulares mais marcantes das últimas décadas. Mas, por enquanto, a prioridade não é nostalgia, e sim instalar o patch de segurança que protege sua privacidade.