Google divulgou nesta segunda-feira (2) uma vulnerabilidade zero-day crítica no Android, rastreada como CVE-2025-48595, que já está sendo explorada em ataques direcionados. A falha permite escalonamento de privilégios remoto sem interação do usuário, possibilitando controle total do dispositivo afetado.
Como o ataque funciona
A vulnerabilidade reside no componente Framework do sistema Android e possui classificação de severidade crítica. Trata-se de uma falha de escalonamento de privilégios remoto que não exige nenhuma ação do usuário — nenhum clique, nenhum download, nenhuma instalação de aplicativo.
Na prática, um atacante com acesso à rede pode explorar a falha para obter privilégios elevados no dispositivo comprometido. A partir desse ponto, o invasor consegue exfiltrar dados, implantar spyware e assumir controle persistente do aparelho. O boletim de segurança do Android classifica a exploração como “limitada e direcionada”, o que sugere campanhas de espionagem em alvos específicos.
| Detalhe | Informação |
|---|---|
| CVE | CVE-2025-48595 |
| Componente | Android Framework |
| Severidade | Crítica |
| Tipo | Escalar privilégios remoto |
| Interação do usuário | Nenhuma (zero-click) |
| Status de exploração | Ativa, limitada e direcionada |
| Nível de patch | 2026-06-05 ou superior |
Versões do Android afetadas
O boletim de segurança de junho de 2026 indica que a correção está disponível no nível de patch 2026-06-05. Dispositivos que recebem atualizações diretamente do Google — como a linha Pixel — tendem a obter o patch rapidamente. Já aparelhos de outros fabricantes dependem de cronogramas variados de distribuição.
A exploração afeta com maior gravidade dispositivos desatualizados ou que não recebem mais suporte do fabricante. Versões mais antigas do Android carecem de proteções como sandboxing avançado e técnicas de mitigação de exploits presentes em builds recentes. O padrão de ataques contra componentes centrais de sistemas operacionais se repete com frequência crescente.
O Google notificou seus parceiros com pelo menos um mês de antecedência antes da divulgação pública. Os patches para o Android Open Source Project (AOSP) serão disponibilizados em até 48 horas após a publicação do boletim.
O que fazer agora
A primeira medida é verificar o nível de patch de segurança do dispositivo. No Android, acesse Configurações → Sobre o telefone → Nível do patch de segurança do Android. Se estiver abaixo de 2026-06-05, atualize imediatamente.
- Verifique se o Google Play Protect está ativo (Configurações → Segurança → Google Play Protect) — ele detecta aplicativos potencialmente prejudiciais
- Ative as atualizações automáticas de segurança nas configurações do sistema
- Organizações devem monitorar endpoints móveis em busca de comportamento anômalo e reforçar políticas de conformidade de patches
- Restrinja a instalação de aplicativos por fontes desconhecidas (sideloading) em ambientes corporativos
- Dispositivos que não recebem mais atualizações devem ser substituídos — a falha não tem correção alternativa
Essa vulnerabilidade reforça a tendência de atacantes mirarem componentes centrais do sistema operacional para obter acesso furtivo e persistente. O caso recente do Chrome zero-day segue o mesmo padrão de exploração silenciosa.
Proteções nativas do Android
O Android conta com um conjunto de defesas integradas que reduzem — mas não eliminam — o risco de exploração. O sandboxing de aplicativos isola processos, impedindo que um app comprometido acesse dados de outros. Técnicas de mitigação de exploits como ASLR (Address Space Layout Randomization) e controle de fluxo dificultam a execução de código arbitrário.
O Google Play Protect, habilitado por padrão em dispositivos com Google Mobile Services, analisa aplicativos instalados e emite alertas sobre software malicioso. Contudo, essas proteções não substituem a aplicação do patch de segurança. A vulnerabilidade CVE-2025-48595 opera no nível do Framework, contornando as barreiras convencionais de sandbox.