# CVE-2025-48572 - Android — Escalada de Privilégios por Bypass de Permissões > [!high] P1 — ALTO | CVSS 7.8 | CISA KEV | Escalada de Privilégios Local no Android > Vulnerabilidade de bypass de permissões no Android permite que aplicações iniciem atividades em segundo plano sem autorização, resultando em escalada local de privilégios. Afeta Android 13, 14, 15 e 16. **CVSS:** 7.8 (Alto) · **Vendor:** Google · **Patch:** Boletim de Segurança Android Dez/2025 · **CISA KEV:** 2025-12-02 ## Resumo **CVE-2025-48572** é uma vulnerabilidade de escalada de privilégios local no Android OS causada por um bypass de permissões no sistema de controle de inicialização de atividades em segundo plano. A falha permite que uma aplicação com privilégios baixos inicie atividades de outras aplicações sem a autorização necessária, contornando os mecanismos de controle de acesso do Android. A vulnerabilidade afeta as versões 13, 14, 15 e 16 do Android e foi adicionada ao catálogo CISA KEV em 2 de dezembro de 2025, com prazo de remediação para 23 de dezembro de 2025. **Pontuação de risco:** - CVSS v3.1: **7.8** (Alto) - CISA KEV: Adicionado em 2025-12-02, prazo 2025-12-23 - Vetor local: requer app maliciosa instalada no dispositivo - Exploração ativa confirmada ## Impacto Técnico A falha no sistema de inicialização de atividades em segundo plano permite que: - **Escalada de privilégios:** aplicação com permissões limitadas execute ações de aplicações com mais privilégios - **Sequestro de interface (UI hijacking):** sobreposição de interface falsa sobre aplicações legítimas (banking, corporativas) - **Roubo de credenciais:** captura de dados inseridos em campos de outras aplicações - **Instalação silenciosa:** abrir interfaces de instalação de APKs sem consentimento do usuário **Impacto para organizações LATAM/Brasil:** Android representa mais de 90% do mercado mobile brasileiro. Aplicações bancárias, corporativas e governamentais são alvos diretos de UI hijacking e escalada de privilégios. Malware bancário direcionado ao Brasil (como [[cti/software/malware/banking-trojans/brata|BRATA]] e variantes) utiliza técnicas similares. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Google | Android | 13.0 | Patch de Segurança Android Dez/2025 | | Google | Android | 14.0 | Patch de Segurança Android Dez/2025 | | Google | Android | 15.0 | Patch de Segurança Android Dez/2025 | | Google | Android | 16.0 | Patch de Segurança Android Dez/2025 | ## Patch e Mitigação **Patch oficial:** - Advisory: [Android Security Bulletin — December 2025](https://source.android.com/docs/security/bulletin/2025-12-01) - Aplicar o Patch de Segurança Android de dezembro de 2025 (nível 2025-12-01 ou superior) **Como aplicar:** 1. Verificar versão atual: Configurações → Sobre o telefone → Nível do patch de segurança Android 2. Verificar atualizações: Configurações → Sistema → Atualização do sistema 3. Aplicar imediatamente o patch de dezembro de 2025 quando disponível pelo fabricante 4. Reiniciar o dispositivo após aplicação **Mitigações temporárias:** - Instalar apenas aplicações de fontes confiáveis (Google Play Store) - Revisar permissões de aplicações suspeitas - Usar soluções MDM corporativas para restringir instalação de aplicações ## Exploração Ativa **Status atual:** Exploração ativa confirmada — adicionado ao CISA KEV em 2025-12-02 ## CISA KEV Esta vulnerabilidade foi adicionada ao **CISA Known Exploited Vulnerabilities (KEV) Catalog** em 2025-12-02. - **Prazo de remediação:** 2025-12-23 - **Referência:** [CISA KEV - CVE-2025-48572](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Métricas CVSS v3.1 | Métrica | Valor | |---------|-------| | Base Score | 7.8 (Alto) | | Vetor de Ataque | Local | | Complexidade | Baixa (Low) | | Privilégios Necessários | Baixo (Low) | | Interação do Usuário | Nenhuma (None) | | Escopo | Inalterado (Unchanged) | | Impacto Confidencialidade | Alto (High) | | Impacto Integridade | Alto (High) | | Impacto Disponibilidade | Alto (High) | ## Contexto de Ameaça Escalada de privilégios em Android é técnica comum de malware bancário e spyware. A combinação de acesso inicial (app maliciosa instalada) com esta vulnerabilidade cria cadeia de ataque eficaz contra usuários corporativos no Brasil. ### TTPs MITRE ATT&CK - [[T1404 - Exploit OS Vulnerability|T1404]] — Exploração de vulnerabilidade do sistema operacional (Mobile) - [[T1626 - Abuse Elevation Control Mechanism|T1626]] — Abuso de mecanismo de controle de elevação ## Relevância LATAM/Brasil Altamente relevante para o Brasil dado o domínio do Android. Malware bancário brasileiro como [[BRATA]], [[Escobar]] e variantes utilizam técnicas de escalada de privilégios e UI hijacking. A adição ao CISA KEV confirma que atores de ameaça estão explorando esta falha ativamente. ## IoCs | Tipo | Valor | Fonte | Confiança | |------|-------|-------|-----------| | — | Não disponíveis publicamente | — | — | ## Referências - [NVD - CVE-2025-48572](https://nvd.nist.gov/vuln/detail/CVE-2025-48572) - [Android Security Bulletin December 2025](https://source.android.com/docs/security/bulletin/2025-12-01) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Notas Relacionadas **TTPs relacionadas:** [[T1404 - Exploit OS Vulnerability]] · [[T1626 - Abuse Elevation Control Mechanism]] **Setores em risco:** [[financeiro]] · [[governo]] · [[saude]]