# CVE-2025-21479 — Qualcomm GPU Incorrect Authorization — Corrupção de Memória > [!high] CVSS 8.6 — CISA KEV — Corrupção de Memória no GPU Micronode Qualcomm > Autorização incorreta no GPU micronode de múltiplos chipsets Qualcomm permite execução de comandos não autorizados, resultando em corrupção de memória. Exploração ativa confirmada — impacta bilhões de dispositivos Android com chipsets Snapdragon/Adreno. Aplicar patches do fabricante do dispositivo imediatamente. ## Visão Geral **CVE-2025-21479** é uma vulnerabilidade de **autorização incorreta (incorrect authorization)** no **GPU micronode** de múltiplos chipsets Qualcomm. A falha permite que sequências específicas de comandos GPU sejam executadas sem a devida autorização, resultando em **corrupção de memória** no contexto do driver Adreno GPU. Esta vulnerabilidade afeta uma ampla gama de chipsets Qualcomm Snapdragon presentes em smartphones Android, tablets, laptops ARM e dispositivos IoT. O Qualcomm Adreno é o subsistema gráfico integrado nas SoCs (System-on-Chip) Snapdragon mais utilizadas no mundo. A vulnerabilidade reside na validação inadequada de comandos enviados ao micronode do GPU — um componente de firmware responsável por gerenciar operações de baixo nível no processador gráfico. Ao enviar uma sequência específica de comandos através de uma aplicação local ou página web com acesso ao contexto GPU, um atacante pode corromper regiões arbitrárias de memória. O impacto potencial inclui escalada de privilégios local, execução de código em contexto privilegiado do kernel (kernel-level code execution) e comprometimento total do dispositivo. A confirmação de exploração ativa pela CISA indica que atores de ameaça possuem exploits funcionais para esta vulnerabilidade. A [[cve-2025-21480|CVE-2025-21480]] é uma vulnerabilidade irmã com o mesmo mecanismo de falha em um conjunto ligeiramente diferente de chipsets Qualcomm. ## Produtos Afetados | Fabricante | Produto | Versões Afetadas | Versão Corrigida | |-----------|---------|-----------------|-----------------| | Qualcomm | AQT1000, FastConnect 6200/6700/6800/6900 | Firmware anterior ao boletim Jun 2025 | Qualcomm Security Bulletin June 2025 | | Qualcomm | Snapdragon 8 Gen 1/2/3, Snapdragon 778G/888 | Firmware anterior ao boletim Jun 2025 | Atualização OTA do fabricante do dispositivo | | Qualcomm | SA6155P, SA8155P, SA8295P (automotive) | Firmware anterior ao boletim Jun 2025 | Coordenação com OEM automotivo | | Múltiplos OEMs | Dispositivos Android com Snapdragon afetado | Android não atualizado para patch Jun 2025 | Aguardar atualização OEM (Samsung, Xiaomi, OnePlus, etc.) | ## Métricas CVSS v3.1 | Métrica | Valor | |---------|-------| | Base Score | 8.6 (Alto) | | Vetor de Ataque | Local | | Complexidade | Baixa | | Privilégios Necessários | Nenhum | | Interação do Usuário | Necessária | | Escopo | Changed (C) — impacta componentes fora do processo atual | | Impacto Confidencialidade | Alto | | Impacto Integridade | Alto | | Impacto Disponibilidade | Alto | ## Status de Exploração - **Exploração ativa:** Sim — confirmada pela CISA (adição ao KEV em 2025-06-03) - **PoC público:** Não divulgado publicamente (Qualcomm segue política de divulgação coordenada) - **Grupos conhecidos explorando:** Não atribuído publicamente - **Desde:** Junho 2025 (data de divulgação coordenada) A exploração de vulnerabilidades em drivers GPU de dispositivos móveis é uma especialidade de atores de espionagem sofisticados, incluindo grupos vinculados a NSO Group e outras empresas de spyware comercial. Chainear esta vulnerabilidade com um exploit de navegador (como [[cve-2025-27038|CVE-2025-27038]]) cria um vetor de comprometimento completo de dispositivo Android sem interação do usuário além de visitar uma página web. ## CISA KEV Esta CVE foi adicionada ao catálogo **CISA Known Exploited Vulnerabilities** em **2025-06-03**, com prazo de mitigação para agências federais americanas em **2025-06-24**. - **Data de adição:** 2025-06-03 - **Prazo (FCEB agencies):** 2025-06-24 - **Ação requerida:** Aplicar mitigações conforme instruções do fornecedor (BOD 22-01) - **Descrição CISA:** "Multiple Qualcomm chipsets contain an incorrect authorization vulnerability allowing memory corruption due to unauthorized command execution in GPU micronode while executing specific sequence of commands." ## Mitigação ### Patch 1. **Qualcomm** publicou correções no **Qualcomm Security Bulletin de junho de 2025** disponível em [Qualcomm Product Security Center](https://www.qualcomm.com/company/product-security) 2. **Fabricantes de dispositivos (OEMs)** devem incorporar os patches Qualcomm em suas atualizações de firmware — Samsung, Xiaomi, OPPO, OnePlus, Motorola e outros precisam lançar atualizações OTA 3. **Usuários finais:** Aplicar todas as atualizações de segurança Android pendentes imediatamente via Configurações → Sistema → Atualizações ### Workaround Não existe workaround completo. Medidas de redução de superfície de ataque: 1. Evitar instalar aplicativos de fontes não confiáveis (sideloading) 2. Restringir acesso de aplicações ao contexto GPU via políticas de MDM corporativo 3. Utilizar solução EDR/MTD (Mobile Threat Defense) que detecte exploração de drivers de kernel ## Contexto de Ameaça Vulnerabilidades em drivers GPU de chipsets Qualcomm fazem parte do portfólio de exploits utilizados por vendors de spyware comercial como NSO Group (Pegasus), Paragon Solutions e outros. O padrão de encadeamento típico é: exploit de navegador (renderer process) → escape de sandbox via GPU driver → escalada de privilégios no kernel → comprometimento persistente do dispositivo. ### TTPs MITRE ATT&CK - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]]: Execução de código via exploit de driver GPU - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]]: Escalada de privilégios via corrupção de memória kernel - [[t1404-exploit-os-vulnerability|T1404 — Exploit OS Vulnerability]]: Exploração de driver de SO (Android/Qualcomm) ### CVEs Relacionadas (Cluster Qualcomm Junho 2025) - [[cve-2025-21480|CVE-2025-21480]]: Vulnerabilidade irmã — mesmo mecanismo GPU micronode, conjunto diferente de chipsets - [[cve-2025-27038|CVE-2025-27038]]: Use-after-free no Adreno GPU durante renderização no Chrome ## Relevância LATAM/Brasil O Brasil é um dos maiores mercados de smartphones do mundo e a grande maioria dos dispositivos Android comercializados utilizam chipsets Qualcomm Snapdragon. Segundo dados da IDC Brasil (2024), mais de 60% dos smartphones vendidos no Brasil são mid-range e flagship com Snapdragon. Isso coloca dezenas de milhões de dispositivos brasileiros no escopo desta vulnerabilidade. O contexto de espionagem via dispositivos móveis é especialmente relevante para o Brasil dado o histórico de uso de spyware em monitoramento de jornalistas, advogados e ativistas documentado por organizações como Access Now e Citizen Lab. Empresas com políticas BYOD (Bring Your Own Device) devem considerar esta como vulnerabilidade de alta prioridade para dispositivos Android gerenciados. ## Referências - [NVD — CVE-2025-21479](https://nvd.nist.gov/vuln/detail/CVE-2025-21479) - [Qualcomm Product Security Center — June 2025 Bulletin](https://www.qualcomm.com/company/product-security) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [CVE-2025-21480 — Vulnerabilidade irmã](https://nvd.nist.gov/vuln/detail/CVE-2025-21480)