# CVE-2025-48633 — Android Framework: Divulgação de Informações por Lógica de Device Owner > [!medium] CVSS 5.5 (Médio) | Exploração ativa confirmada | KEV CISA | Android 13–15 > Falha de lógica no gerenciamento de Device Owner do Android Framework permite que um aplicativo com privilégios locais básicos acesse informações de contas de todos os usuários do dispositivo após a fase de provisionamento, violando o modelo de isolamento de usuários do Android. ## Visão Geral A **CVE-2025-48633** é uma vulnerabilidade de **divulgação de informações** no Android Framework, especificamente no método `hasAccountsOnAnyUser()` de `DevicePolicyManagerService.java`. A falha permite que um aplicativo malicioso com privilégios locais comuns adicione um Device Owner ao dispositivo mesmo após o provisionamento inicial ter sido concluído, obtendo assim acesso privilegiado a informações de contas de todos os perfis de usuário. O Device Owner é um perfil de MDM (Mobile Device Management) com acesso extremamente privilegiado ao dispositivo Android, normalmente configurado apenas durante o processo inicial de provisionamento empresarial. A exploração desta falha permite que um atacante com acesso local básico ao dispositivo contorne essa restrição temporal, elevando efetivamente seus privilégios de monitoramento e coleta de dados. A CISA adicionou esta CVE ao seu catálogo **Known Exploited Vulnerabilities** em 2 de dezembro de 2025, confirmando exploração ativa contra dispositivos vulneráveis. O impacto imediato é de confidencialidade elevada — o atacante pode ler credenciais e tokens de autenticação associados a todas as contas sincronizadas no dispositivo. Afeta dispositivos Android 13, 14 e 15, representando a grande maioria da base ativa de dispositivos Android em uso globalmente, incluindo o Brasil. O patch foi disponibilizado no boletim de segurança Android de dezembro de 2025. ## Produtos Afetados | Fabricante | Produto | Versões Afetadas | Versão Corrigida | |-----------|---------|-----------------|-----------------| | Google | Android | 13.0 | Boletim Dez/2025 | | Google | Android | 14.0 | Boletim Dez/2025 | | Google | Android | 15.0 | Boletim Dez/2025 | ## Métricas CVSS v3.1 | Métrica | Valor | |---------|-------| | Base Score | 5.5 (Médio) | | Vetor de Ataque | Local | | Complexidade | Baixa | | Privilégios Necessários | Baixo | | Interação do Usuário | Nenhuma | | Impacto Confidencialidade | Alto | | Impacto Integridade | Nenhum | | Impacto Disponibilidade | Nenhum | ## Status de Exploração - **Exploração ativa:** Sim — confirmada pela CISA em 02/12/2025 - **PoC público:** Não confirmado publicamente - **Grupos conhecidos explorando:** Nenhum atribuído publicamente - **Desde:** Novembro/Dezembro de 2025 ## CISA KEV Esta vulnerabilidade foi adicionada ao catálogo **Known Exploited Vulnerabilities (KEV)** da CISA em **2 de dezembro de 2025**. O prazo para agências federais norte-americanas aplicarem mitigações era **23 de dezembro de 2025**. A ação obrigatória é: aplicar mitigações conforme instruções do fabricante, seguir orientações BOD 22-01 para serviços em nuvem, ou descontinuar uso do produto caso mitigações não estejam disponíveis. ## Mitigação ### Patch Aplicar o **Boletim de Segurança Android de dezembro de 2025** disponibilizado pelo Google. Fabricantes de dispositivos como Samsung, Xiaomi, Motorola e outros devem ter lançado atualizações OTA correspondentes. - [Android Security Bulletin — December 2025](https://source.android.com/docs/security/bulletin/2025-12-01) ### Workaround Enquanto o patch não é aplicado: - Evitar instalar aplicativos de fontes desconhecidas em dispositivos corporativos - Desabilitar instalação de APKs fora da Play Store em políticas MDM - Monitorar tentativas de provisionamento de Device Owner via logs de MDM ## Contexto de Ameaça A exploração desta vulnerabilidade é particularmente preocupante em contextos de MDM corporativo, onde o perfil Device Owner é usado para gerenciamento de frotas de dispositivos. Um atacante com acesso físico ou com um aplicativo malicioso instalado pode abusar desta falha para se autopromover a Device Owner, obtendo capacidade de monitorar contas, e-mails e credenciais sincronizadas. Combinada com [[cve-2025-48572|CVE-2025-48572]] (elevação de privilégios no mesmo componente Android Framework, também no KEV), a superfície de ataque no Android Framework de dezembro de 2025 é significativa. ### Atores de Ameaça Associados Nenhum ator específico confirmado publicamente. Vulnerabilidades Android em exploit ativo são frequentemente utilizadas por grupos de spyware comercial e operações de vigilância estatal. ### Campanhas Nenhuma campanha específica atribuída publicamente. ### TTPs MITRE ATT&CK - [[t1422-system-information-discovery|T1422 — System Information Discovery]] — coleta de informações de contas - [[t1417-input-capture|T1417 — Input Capture]] — acesso a credenciais via Device Owner - [[t1626-abuse-elevation-control-mechanism|T1626 — Abuse Elevation Control Mechanism]] — bypass do controle de Device Owner ## Relevância LATAM/Brasil O Brasil possui uma das maiores bases de dispositivos Android do mundo, com penetração superior a 85% do mercado de smartphones. Empresas brasileiras dos setores financeiro, governo e telecomunicações utilizam MDM baseado em Device Owner para gestão de frotas corporativas. A exploração desta vulnerabilidade pode permitir acesso a credenciais bancárias, tokens de autenticação de aplicativos corporativos e dados de contas Google/Microsoft sincronizados em dispositivos de funcionários. O setor [[financeiro|financeiro]] brasileiro é especialmente exposto dado o alto uso de aplicativos bancários em dispositivos Android corporativos. ## Referências - [NVD — CVE-2025-48633](https://nvd.nist.gov/vuln/detail/CVE-2025-48633) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Android Security Bulletin December 2025](https://source.android.com/docs/security/bulletin/2025-12-01)