Uma foto hackeia seu celular

A Samsung começou a distribuir nesta semana a atualização de segurança de julho de 2026 para toda a linha Galaxy, incluindo os dobráveis Z Fold 7 e Z Flip 7 e a série S26. O pacote corrige 57 vulnerabilidades, sendo cinco críticas. O detalhe que deve preocupar todo usuário brasileiro: duas dessas falhas críticas permitem que um invasor execute código remoto no aparelho apenas com a abertura de uma imagem maliciosa — uma foto DNG ou PNG manipulada, recebida por qualquer canal, é suficiente. Nenhuma senha. Nenhum clique além de abrir o arquivo.

A classe de vulnerabilidades em bibliotecas de tratamento de imagem foi a mesma explorada por operadores de spyware comercial contra dispositivos Galaxy em campanhas reais registradas em novembro de 2025, conforme reportado pelo TechTimes. Em outras palavras: não é teoria. Já aconteceu, e a correção chegou agora.

As 57 falhas de julho

O Security Maintenance Release (SMR) de julho de 2026 traz 41 correções oriundas do Boletim de Segurança do Android do Google e 16 fixes desenvolvidos pela própria equipe de pesquisa da Samsung. A distribuição por severidade é a seguinte:

Severidade Quantidade Origem
Crítica 5 Google (Android OS e Media Framework)
Alta 42 Google + Samsung
Moderada 7 Google + Samsung
Total 57

Nem todas as correções carregam o mesmo peso. As cinco críticas se dividem em duas superfícies de ataque distintas, e a diferença entre elas define o nível real de urgência para quem ainda não instalou o patch.

A bomba dos arquivos DNG

A vulnerabilidade de maior impacto é a CVE-2026-27280, uma falha de escrita fora dos limites (out-of-bounds write) no Software Development Kit de DNG da Adobe, nas versões 1.7.1.2471 e anteriores. O formato DNG é o padrão de imagem RAW sem perdas usado por fotógrafos profissionais e diversos aplicativos de câmera.

O cenário de ataque é direto: o invasor envia um arquivo DNG manipulado por qualquer canal — WhatsApp, e-mail, download de site, mensagem em rede social. No momento em que o sistema operacional do Galaxy tenta renderizar a imagem para exibi-la, a falha é acionada e o atacante ganha a capacidade de executar código arbitrário no dispositivo. Isso significa instalar spyware, roubar credenciais bancárias, interceptar mensagens e acessar a câmera e o microfone — tudo a partir de uma foto aparentemente inofensiva.

A gravidade é máxima porque não exige nenhuma interação além de abrir o arquivo. Não há link para clicar, não há permissão para conceder. A pré-visualização automática que o sistema faz ao receber uma imagem já pode ser suficiente.

libpng: um PNG vira arma

A segunda falha crítica baseada em imagem é a CVE-2026-33636, uma vulnerabilidade na biblioteca libpng, acionada por arquivos PNG manipulados em processadores ARM e AArch64 quando a extensão de paleta de cores acelerada por hardware está ativada. O impacto varia entre negação de serviço (travamento do aplicativo ou do sistema) e leitura de dados fora dos limites de memória pretendidos.

Embora menos potente que a falha do DNG, a CVE-2026-33636 é igualmente remota: basta que o dispositivo processe o PNG malicioso. Considerando que PNG é um dos formatos de imagem mais comuns da internet — presente em memes, capturas de tela, anúncios e mensagens —, a superfície de exposição é enorme.

As outras três críticas — CVE-2026-28590, CVE-2026-28618 e CVE-2026-28639 — afetam componentes do sistema operacional Android e do Media Framework. O Google e a Samsung classificam-nas como críticas, mas não divulgaram detalhes técnicos específicos de exploração, o que representa um risco significativo, porém abstrato, para a maioria dos usuários.

Os patches exclusivos Samsung

Além das cinco críticas do Google, os 16 fixes proprietários da Samsung incluem duas vulnerabilidades de alta severidade que merecem atenção redobrada. Ambas residem na biblioteca libimagecodec.media.quram.so, responsável por processamento de imagens no ecossistema Galaxy:

  • SVE-2026-1087: escrita fora dos limites no processamento de formato TIFF.
  • SVE-2026-1650: escrita fora dos limites no processamento de formato DNG.

O boletim da Samsung Mobile Security confirma que ambas “permitem que atacantes remotos escrevam em memória fora dos limites”. Apesar de classificadas como alta severidade — e não crítica —, elas compartilham o mesmo modelo de exploração remota da CVE-2026-27280: um arquivo de imagem manipulado, recebido por qualquer canal, aciona a falha sem ação adicional do usuário além de abrir ou pré-visualizar o arquivo.

Há ainda correções para corrupção de memória em libsavsac.so e libpadm.so (execução local de código), uma condição de corrida time-of-check time-of-use no trustlet fabricKeymaster e uma falha de autorização imprópria no KnoxGuardManager que permitiria a um atacante local contornar a configuração de persistência do aplicativo.

O histórico real de spyware

A classe de vulnerabilidades de escrita fora dos limites em bibliotecas de processamento de imagem da Samsung não é nova nem teórica. Em novembro de 2025, operadores de spyware de grau comercial usaram exatamente esse vetor para comprometer dispositivos Galaxy em campanhas no mundo real. A capacidade de executar código a partir de um arquivo de imagem recebido remotamente é um dos ativos mais valiosos no mercado clandestino de vigilância — um único zero-day dessa categoria pode valer centenas de milhares de dólares.

O fato de a Samsung ter identificado e corrigido essas falhas é positivo, mas a janela de exposição foi real. Quem usou o aparelho para banking, autenticação de dois fatores ou aplicativos corporativos durante os meses em que as falhas estavam presentes esteve sob risco de comprometimento silencioso. O spyware desse tipo não deixa rastros óbvios — funciona em segundo plano, exfiltrando dados de forma gradual.

Como se proteger agora

A atualização está sendo distribuída em fases, começando pela Coreia do Sul — padrão da Samsung — e expandindo para mercados globais em questão de dias. O pacote do Z Fold 7 pesa 573 MB (firmware F966NKSSBBZG3) e o do Z Flip 7, 443 MB (firmware F766NKSSBBZG3), segundo o SamMobile. Para verificar manualmente:

  1. Abra Configurações no seu Galaxy.
  2. Toque em Atualização de software.
  3. Selecione Baixar e instalar.
  4. Se a mensagem “Seu software está atualizado” aparecer, significa apenas que a distribuição ainda não chegou ao seu dispositivo ou região — tente novamente em 24 a 48 horas.

Esta é uma atualização exclusivamente de segurança, sem novos recursos. Quem espera melhorias no Galaxy AI ou na câmera precisará aguardar um feature drop futuro do One UI. Não há motivo para adiar: instale assim que disponível.

O risco real para o Brasil

O Brasil é um dos maiores mercados de smartphones Samsung do mundo. A marca lidera vendas no país há anos, e a linha Galaxy — do Galaxy A de entrada aos dobráveis topo de linha — está nas mãos de dezenas de milhões de brasileiros que usam o aparelho como ferramenta principal de banking, comunicação e trabalho. Um ataque que comprometa o celular compromete junto a conta bancária, as conversas no WhatsApp, os tokens de autenticação e os dados corporativos.

O cenário se agrava quando se considera que golpes baseados em celulares já movimentam bilhões no Brasil — só em 2025, o Banco Central registrou mais de R$ 1,5 bilhão em fraudes via Pix. Um spyware instalado silenciosamente por meio de uma foto pode capturar senhas, interceptar notificações de transação e desviar códigos de verificação em tempo real. A linha entre uma falha de segurança abstrata e um prejuízo financeiro concreto é mais curta do que parece.

O que esperar adiante

A Samsung mantém um ciclo mensal de Security Maintenance Releases, mas a frequência por si só não elimina o risco. Falhas em bibliotecas de imagem tendem a permanecer indetectadas por longos períodos — a CVE-2026-27280 existia no DNG SDK há tempo suficiente para ser explorada comercialmente antes da correção. A lição para usuários e empresas é simples: nenhuma plataforma é imune, e o atraso entre o boletim e a instalação é a janela mais perigosa do ciclo.

Para quem administra frotas corporativas de dispositivos móveis, a recomendação é implementar políticas de MDM (Mobile Device Management) que forcem a instalação de patches de segurança em até 72 horas após a liberação. Para o usuário individual, a regra é mais direta: quando a atualização aparecer, instale sem hesitação. A próxima foto que você abrir pode não ser apenas uma foto.

Leia também

Referências