O órgão americano CISA incluiu duas vulnerabilidades críticas do Android Framework em seu Known Exploited Vulnerabilities (KEV), alertando para exploração ativa e estabelecendo prazo de correção obrigatório para agências federais até 23 de dezembro de 2025.
Descoberta e escopo
Em 2 de dezembro de 2025 a CISA adicionou ao seu catálogo duas falhas no Android Framework: CVE-2025-48572 (privilege escalation) e CVE-2025-48633 (information disclosure). A ação indica que ambas estão sendo exploradas na natureza, segundo o registro no KEV.
Abordagem técnica e vetores
As descrições públicas mantêm detalhes técnicos limitados; o relatório disponível relata apenas os tipos de falha — elevação de privilégios e divulgação de informação — e o componente afetado (Android Framework). As fontes notam que detalhes mais granulares permanecem retidos, aparentemente para evitar ampliar a janela de exploração antes da disponibilidade de patches.
Mitigações e orientações operacionais
- A CISA definiu 23/12/2025 como prazo obrigatório para aplicação de correções por agências federais e operadores de infraestrutura crítica, em consonância com diretrizes vinculantes (BOD 22-01).
- Recomendações gerais citadas incluem aplicar as correções fornecidas pelo fornecedor assim que estiverem disponíveis; para ambientes incapazes de aplicar patch imediatamente, a CISA sugere considerar a descontinuação do uso do produto afetado ou a adoção de controles compensatórios.
- Para usuários finais: habilitar atualizações automáticas e checar as configurações de Google Play System Update.
Impacto e alcance
O comunicado ressalta o potencial impacto combinado das duas falhas: enquanto CVE-2025-48572 permite a elevação de privilégios, CVE-2025-48633 possibilita divulgação de dados — juntas, podem formar uma cadeia de comprometimento capaz de instalar malware, criar backdoors persistentes e exfiltrar informações sensíveis sem interação explícita do usuário.
Embora o texto disponível não apresente estimativas numéricas de dispositivos afetados, a referência genérica ao "Android OS" sugere abrangência ampla, dada a distribuição do sistema em milhões de aparelhos.
Limites das informações
As fontes não detalham vetores de entrega, famílias de exploração correlacionadas, indicadores de compromisso específicos, ou quais versões/implementações do Android Framework são exatamente afetadas. Também não há, até a publicação, confirmação de uso das falhas em campanhas de ransomware.
Recomendações práticas para equipes de segurança
- Priorizar inventário de dispositivos Android gerenciados e verificar políticas de atualização (incluindo Google Play System Updates).
- Monitorar comunicados do fornecedor (Google) para liberar e aplicar patches específicos.
- Implementar monitoramento por indicadores genéricos de elevação de privilégios e exfiltração em endpoints móveis e redes corporativas.
- Comunicar usuários e equipes de suporte sobre a urgência e o prazo indicado pela CISA.
Contexto regulatório
A inclusão no KEV aciona obrigação operacional para organizações federais nos EUA e reforça a pressão regulatória sobre operadores de infraestrutura crítica para mitigarem rapidamente vulnerabilidades exploradas ativamente — precedente que organizações globais devem observar como referência de urgência.
O que falta saber
As fontes não especificam amostras de exploits, assinaturas de rede, servidores de comando e controle associados ou se há grupos identificados por trás da exploração. Equipes de resposta devem aguardar análises técnicas adicionais do fornecedor e de centros de resposta para obter IoCs robustos.
Prazo de referência: inclusão no KEV em 02/12/2025; correções exigidas por 23/12/2025.