Google corrige zero-day no Android explorado em ataques direcionados e outras 123 vulnerabilidades

Um zero-day já em uso, 124 falhas no total

O Google divulgou nesta semana o boletim de segurança de junho de 2026 para o Android, corrigindo 124 vulnerabilidades em diferentes camadas do sistema operacional. Entre elas está o CVE-2025-48595, uma falha classificada como de alta severidade — com pontuação CVSS de 8,4 — que já estava sendo explorada ativamente em ataques direcionados antes mesmo da publicação do patch. A atualização está disponível para dispositivos com Android 14, 15 e 16, e o nível de patch de 2 de junho de 2026 ou posterior garante a proteção completa.

O que é o CVE-2025-48595 e por que ele é perigoso

A vulnerabilidade reside no componente Android Framework — a camada que expõe as APIs centrais do sistema operacional e gerencia os serviços de base para aplicativos. O problema técnico é classificado como um integer overflow (CWE-190): uma operação aritmética produz um valor além do limite suportado pelo tipo de dado, abrindo espaço para comportamento inesperado que atacantes podem explorar. Na prática, um invasor com acesso local ao dispositivo e permissões básicas de aplicativo consegue escalar privilégios sem qualquer interação adicional da vítima — basta que o aplicativo malicioso seja executado. O Google reconheceu que há indícios de exploração "limitada e direcionada" da falha, linguagem que, segundo especialistas, tipicamente aponta para operadores de spyware comercial ou agentes de estados-nação mirando alvos de alto perfil. A falha foi adicionada ao catálogo KEV (Known Exploited Vulnerabilities) da CISA em 3 de junho de 2026.

Escala do boletim: 18 falhas críticas e um padrão preocupante

Além do zero-day, o pacote de junho corrige outras 123 vulnerabilidades distribuídas entre os componentes de Sistema, Framework e chips Qualcomm presentes em milhões de aparelhos. Dezoito dessas falhas foram classificadas como críticas, com potencial para execução remota de código ou escalada de privilégios sem necessidade de interação do usuário. O volume e a gravidade do boletim inserem-se em um contexto mais amplo: o CVE-2025-48595 é o quarto zero-day no Android corrigido desde dezembro de 2025, sinalizando um aumento consistente no interesse de atores sofisticados pelos dispositivos móveis como vetor de ataque.

Como se proteger

Usuários de dispositivos com Android 14, 15 ou 16 devem verificar imediatamente se há atualizações de segurança disponíveis nas configurações do sistema. Fabricantes como Samsung, Motorola e outros parceiros do ecossistema Android costumam distribuir os patches com algumas semanas de defasagem em relação ao boletim oficial do Google. Dispositivos Pixel, no entanto, já recebem a atualização diretamente. A recomendação é priorizar a instalação assim que o patch nível 2026-06-05 — ou qualquer nível posterior — estiver disponível para o modelo em uso. Até lá, a cautela com aplicativos de fontes desconhecidas e permissões desnecessárias continua sendo a linha de defesa mais acessível.

Fonte original: TecMundo — Google corrige falha inédita no Android explorada em ataques e outras 120 vulnerabilidades. Informações corroboradas por BleepingComputer, The Cyber Express e SOCRadar.