# CVE-2025-48543 — Android Runtime Use-After-Free > [!critical] > **CVSS:** 8.8 (High) | **Exploração ativa confirmada** | **CISA KEV:** adicionado em 2025-09-04 | **Prazo federal:** 2025-09-25 ## Visão Geral A **CVE-2025-48543** é uma vulnerabilidade crítica do tipo **Use-After-Free (UAF)** identificada no **Android Runtime (ART)** — o ambiente de execução de aplicativos da plataforma Android. Vulnerabilidades UAF ocorrem quando um programa continua utilizando um ponteiro de memória após o objeto apontado ter sido liberado (*freed*), podendo ser exploradas para corromper memória, vazar dados sensíveis ou executar código arbitrário. O impacto específico desta vulnerabilidade é especialmente grave: a CISA descreve que a exploração pode levar a um **Chrome sandbox escape** seguido de **escalada de privilégio local**. Isso coloca a CVE-2025-48543 em uma categoria de risco elevado — um atacante que já comprometeu o processo do browser Chrome pode usar esta falha para escapar do sandbox e ganhar controle mais amplo sobre o dispositivo Android. A Google publicou o patch no **Android Security Bulletin de setembro de 2025**, e a CISA adicionou esta vulnerabilidade ao catálogo KEV no mesmo dia da publicação (4 de setembro de 2025), indicando que a exploração já estava ocorrendo antes ou imediatamente após a divulgação pública. ## Produtos Afetados | Fabricante | Produto | Versões Afetadas | Versão Corrigida | |-----------|---------|-----------------|-----------------| | Google | Android (ART — Android Runtime) | Versões anteriores ao patch 2025-09-01 | Android Security Patch Level 2025-09-01 | ## Métricas CVSS v3.1 | Métrica | Valor | |---------|-------| | Base Score | 8.8 (High) | | Vetor de Ataque | Local | | Complexidade | Low | | Privilégios Necessários | Low | | Interação do Usuário | None | | Impacto Confidencialidade | High | | Impacto Integridade | High | | Impacto Disponibilidade | High | | Escopo | Changed (sandbox escape) | > Nota: Score estimado com base nos dados do CISA KEV e perfil técnico da vulnerabilidade. Verificar NVD para valores definitivos após publicação completa. ## Status de Exploração - **Exploração ativa:** Sim — confirmado pela CISA (KEV adicionado em 2025-09-04) - **PoC público:** Não confirmado publicamente - **Vetor de ataque principal:** Chrome sandbox escape → escalada local de privilégios - **Grupos conhecidos explorando:** Não atribuído publicamente - **Uso em ransomware:** Desconhecido A combinação de Chrome sandbox escape + escalada de privilégio via ART é uma cadeia de exploração clássica usada por grupos de espionagem e fabricantes de spyware comercial, como documentado em campanhas anteriores de [[NSO Group]] e similares. ## CISA KEV Esta vulnerabilidade consta no catálogo **CISA Known Exploited Vulnerabilities** desde 4 de setembro de 2025. | Campo | Valor | |-------|-------| | Data de adição ao KEV | 2025-09-04 | | Prazo para agências federais | 2025-09-25 | | Ação obrigatória | Aplicar mitigações do fabricante ou descontinuar uso | | Uso confirmado em ransomware | Desconhecido | ## Mitigação ### Patch Aplicar imediatamente o **Android Security Patch Level 2025-09-01** ou posterior: - **Como verificar:** Configurações → Sobre o telefone → Nível do patch de segurança Android - **Como atualizar:** Configurações → Sistema → Atualização do sistema - Fabricantes OEM (Samsung, Xiaomi, Motorola, etc.) devem liberar atualizações com este patch — verificar canais oficiais de cada fabricante ### Workaround Enquanto o patch não é aplicado: - Evitar navegar em sites não confiáveis via Chrome - Considerar uso de browsers alternativos isolados para atividades sensíveis - Restringir permissões de aplicativos ao mínimo necessário - Para ambiente corporativo: considerar MDM com políticas de isolamento ## Contexto de Ameaça Vulnerabilidades Use-After-Free no Android Runtime são altamente valorizadas por grupos de ameaça avançada, pois permitem escapar do modelo de sandboxing do Android — que normalmente impede que um aplicativo comprometido acesse dados de outros aplicativos. Uma vez fora do sandbox, o atacante pode acessar dados de outros aplicativos, incluindo clientes bancários, e-mail corporativo e VPNs. Esta CVE-2025-48543 possivelmente integra uma cadeia de exploração junto com [[CVE-2025-38352]] (TOCTOU no kernel Linux), também adicionada ao KEV na mesma data — sugerindo uma campanha coordenada ou a divulgação de uma cadeia de exploração encadeada. ### Atores de Ameaça Associados Nenhuma atribuição pública confirmada. Perfil técnico sugere capacidade de grupos APT com desenvolvimento próprio de exploits para plataformas móveis. ### Campanhas Nenhuma campanha específica atribuída publicamente. ### TTPs MITRE ATT&CK - [[T1404 - Exploit OS Vulnerability]] — abuso de vulnerabilidade do sistema operacional Android - [[T1068 - Exploitation for Privilege Escalation]] — escalada de privilégio via ART UAF - [[T1422 - System Network Configuration Discovery]] — atividade pós-escalada ## Relevância LATAM/Brasil **Alta relevância.** O Android domina o mercado mobile brasileiro com aproximadamente 85% de market share. Esta vulnerabilidade afeta diretamente: - **Aplicativos financeiros:** todos os principais bancos brasileiros (Nubank, Itaú, Bradesco, Caixa, BB) oferecem apps Android. Um sandbox escape permite acesso ao contexto de memória desses aplicativos - **Governo digital:** aplicativos como GOV.BR, Carteira de Trabalho Digital e FGTS Digital rodam em Android - **Corporativo:** acesso a sistemas ERP, VPN e e-mail corporativo via Android é padrão em empresas brasileiras - **Perfil de risco LATAM:** alta proporção de dispositivos Android desatualizados na região aumenta a exposição Grupos de cibercrime focados no Brasil, que tradicionalmente miravam banking trojans em Android (como [[Banbra]], [[Roaming Mantis]] e similares), poderiam incorporar exploits dessa natureza em suas ferramentas. ## Referências - [NVD — CVE-2025-48543](https://nvd.nist.gov/vuln/detail/CVE-2025-48543) - [CISA KEV — CVE-2025-48543](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-48543) - [Android Security Bulletin — Setembro 2025](https://source.android.com/docs/security/bulletin/2025-09-01)