O fabricante de chips dos EUA, a Qualcomm lançou um número significativo de patches de segurança para vulnerabilidades em seus chips e software de código aberto. Esse movimento é crucial, pois muitos smartphones do Android em todo o mundo utilizam chips Qualcomm, tornando -os um alvo principal para possíveis ataques cibernéticos. No entanto, a entrega oportuna desses patches aos usuários finais continua sendo um fator crítico.
Em seu relatório de segurança de junho de 2025, a Qualcomm detalhou um total de 18 patches abordando várias vulnerabilidades. Entre eles, três são particularmente preocupantes, pois se acredita que tenham sido ativamente explorados em ataques de hackers direcionados. Essas vulnerabilidades específicas são classificadas como explorações de dia zero, o que significa que os invasores estavam alavancando essas falhas antes que os desenvolvedores tivessem um patch disponível.
De acordo com o Grupo de Análise de Ameaças do Google (TAG), essas três vulnerabilidades de dia zero afetam os processadores gráficos de Adreno (GPU) encontrados nos chips Qualcomm. Essas GPUs são integradas a uma ampla gama de smartphones usados globalmente de fabricantes como Samsung, Xiaomi e OnePlus.
Duas das vulnerabilidades que afetam o micronode adreno GPU caem da autorização incorreta, o que pode levar à corrupção da memória. Eles são considerados altamente perigosos, refletidos por sua pontuação no CVSS de 8,6. A terceira vulnerabilidade é descrita como um erro de “uso após livre” na memória da GPU. Esse tipo de erro ocorre quando a memória não é aprovada corretamente depois de não ser mais necessária, potencialmente causando falhas ou, na instância relatada, a corrupção da memória ao renderizar gráficos usando drivers GPU adreno no navegador Chrome.
A Qualcomm forneceu proativamente patches para essas três vulnerabilidades críticas de dia zero a todos os fabricantes afetados em maio. Apesar disso, pode haver um atraso antes que os fabricantes de smartphone integram esses patches em suas próprias atualizações de software de dispositivo e, posteriormente, os libere para os usuários. O relatório da Qualcomm exorta explicitamente os fabricantes a “atualizar os dispositivos afetados o mais rápido possível”. Os usuários são aconselhados a entrar em contato com seus fabricantes de smartphones para perguntar sobre o status do patch de seus dispositivos específicos.
Embora os fabricantes de dispositivos gerenciem seus sistemas operacionais baseados em Android, eles normalmente não têm controle direto sobre o firmware dos chips instalados. Eles dependem de fabricantes de chips como a Qualcomm para primeiro fornecer os patches de segurança necessários. Somente depois de receber esses patches, os fabricantes de smartphones podem desenvolver e fornecer as atualizações correspondentes em seus dispositivos. Essa dependência de fabricantes de chips para patches iniciais pode criar uma janela de vulnerabilidade, tornando os smartphones do Android um alvo atraente para os hackers. Um exemplo notável ocorreu em 2021, quando uma falha de segurança em um modem da Qualcomm impactou centenas de milhões de dispositivos, e levou de várias semanas a meses para que a atualização necessária fosse lançada para a maioria dos smartphones afetados.
