Qualcomm soluciona finalmente las vulnerabilidades de día cero de la GPU Adreno utilizadas en ataques a Android.
Tres vulnerabilidades que fueron explotadas durante varios meses han sido finalmente corregidas.
Qualcomm ha solucionado recientemente tres vulnerabilidades de día cero en su tecnología Adreno GPU que estaban siendo explotadas activamente. Según lo informado en el boletín de seguridad de Android de junio de 2025, las vulnerabilidades han sido identificadas como CVE-2025-21479, CVE-2025-21480 y CVE-2025-27038. Las dos primeras consisten en fallos de autorización inapropiados dentro del componente Gráfico, con una severidad clasificada como alta (8.6/10), que podrían causar corrupción de memoria. Estas fueron detectadas por primera vez en enero de 2025. La tercera vulnerabilidad implica un fallo de uso después de liberar recursos, también relacionado con la corrupción de memoria, y recibió una puntuación de severidad más baja de 7.5/10.
Qualcomm ha informado que existe evidencia del Grupo de Análisis de Amenazas de Google indicando que estas vulnerabilidades podrían estar sujeto a una explotación limitada y dirigida. Las correcciones han sido proporcionadas a los fabricantes de equipos originales (OEMs) desde mayo, junto con una fuerte recomendación para que actualicen lo antes posible los dispositivos afectados.
Ahora depende de los distintos fabricantes de dispositivos, como Samsung, Google, OnePlus y Xiaomi, aplicar estas actualizaciones en sus productos. Los dispositivos en riesgo abarcan una variedad extensa de chipsets de Qualcomm, incluidos modelos de alta gama como el Snapdragon 8 Gen 2 y Gen 3, así como plataformas de gama media y económica como el Snapdragon 695, 778G y 4 Gen 1/2.
Actualmente, no se dispone de información específica sobre quién ha explotado estas fallas o el objetivo de dichas acciones. Sin embargo, vulnerabilidades similares habían sido utilizadas en campañas de spyware, como Variston y Cy4Gate. Adicionalmente, se menciona otro error de Qualcomm (CVE-2024-43047) que fue utilizado por la agencia de servicios secretos de Serbia, BIA, en diciembre de 2024, para desbloquear dispositivos Android incautados a periodistas, activistas y manifestantes.
