O que aconteceu
Google lançou na última segunda-feira (2) a atualização de segurança de junho de 2026 para Android, corrigindo 124 vulnerabilidades — entre elas o CVE-2025-48595, uma falha zero-day de alta gravidade (CVSS 8,4) no componente Framework que já está sendo explorada de forma ativa em ataques direcionados. A vulnerabilidade permite que um aplicativo malicioso escale privilégios no dispositivo sem nenhuma interação do usuário e sem exigir permissões especiais, resultando em controle total do aparelho. A CISA adicionou o CVE ao catálogo de vulnerabilidades conhecidas no mesmo dia do comunicado, fixando prazo de correção para agências federais americanas até 5 de junho.
Contexto da vulnerabilidade
O CVE-2025-48595 é um overflow de inteiro localizado no Android Framework, o núcleo do sistema operacional responsável por gerenciar permissões, recursos e a comunicação entre aplicativos. Segundo a descrição publicada no CVE.org, “em múltiplas localizações há uma forma possível de alcançar execução de código devido a um overflow de inteiro, o que pode levar a uma escalada local de privilégios sem necessidade de privilégios adicionais de execução”.
A falha afeta dispositivos rodando Android 14, 15, 16 e 16 QPR2. O Google confirmou em seu boletim de segurança que “existem indicações de que o CVE-2025-48595 pode estar sob exploração limitada e direcionada”. A empresa não revelou detalhes sobre os autores dos ataques, os alvos ou a escala das operações — prática comum em casos envolvendo spyware comercial.
Historicamente, vulnerabilidades desse tipo no Android foram exploradas por fornecedores de spyware comercial que vendem cadeias de exploits sofisticadas a clientes governamentais. O Google Task Force de análise de ameaças tem sido frequente responsável por descobrir essas explorações.
Impacto para usuários
Um atacante que consiga explorar o CVE-2025-48595 obtém acesso de nível system no dispositivo comprometido. Na prática, isso significa capacidade de:
- Ler e modificar dados armazenados no aparelho, incluindo mensagens, contatos e credenciais
- Instalar e executar código arbitrário com privilégios máximos
- Bypassar mecanismos de sandbox e isolamento de aplicativos
- Estabelecer acesso persistente e indetectável ao dispositivo
- Realizar interceptação de comunicações e espionagem
A ausência de necessidade de interação do usuário torna o cenário particularmente perigoso em campanhas direcionadas. Em contextos reais, falhas como esta são frequentemente encadeadas com outras vulnerabilidades para atingir comprometimento total do dispositivo, conforme documentado por pesquisadores de segurança que analisaram a falha.
Pacote completo de junho
Além do zero-day, o boletim de junho de 2026 traz correções para outras 123 vulnerabilidades. Destas, 18 receberam classificação de gravidade “crítica” e afetam os componentes System, Framework e componentes de código fechado da Qualcomm. A exploração dessas falhas pode resultar em negação de serviço e escalada de privilégios.
O restante das vulnerabilidades corrigidas recebeu classificação de gravidade “alta” e afeta componentes System, Framework, Kernel e bibliotecas de fornecedores como Imagination Technologies, MediaTek, Unisoc e Qualcomm. Uma vulnerabilidade no componente System, rastreada como CVE-2026-0059, permite execução remota de código.
O Google emitiu dois níveis de patch: 2026-06-01 (corrigindo vulnerabilidades do Framework e System) e 2026-06-05 (incluindo todas as correções anteriores mais patches para kernel e componentes de terceiros). Este segundo nível abrange os drivers de chipset que variam conforme o fabricante do dispositivo.
Quadro das falhas críticas
| Componente | Gravidade | Tipo de impacto | Interação do usuário |
|---|---|---|---|
| Framework (CVE-2025-48595) | Alta (CVSS 8,4) | Escalada de privilégios local | Não requerida |
| System | Crítica | Escalada de privilégios / negação de serviço | Depende do CVE |
| Framework | Crítica | Escalada remota de privilégios | Não requerida |
| Qualcomm (código fechado) | Crítica | Negação de serviço / escalada | Depende do CVE |
| System (CVE-2026-0059) | Alta | Execução remota de código | Depende do vetor |
Ação da CISA e cronologia
A Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos adicionou o CVE-2025-48595 ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) em 2 de junho de 2026, mesmo dia da publicação do boletim do Google. A determinação exige que agências federais do ramo executivo civil (FCEB) apliquem a correção até 5 de junho de 2026.
A rapidez da inclusão — três dias de prazo para correção — reflete a gravidade da exploração ativa. Esta não é a primeira falha zero-day do Android a receber esse tratamento em 2026: em março, o CVE-2026-21385, uma vulnerabilidade na Qualcomm, também foi adicionado ao KEV após exploração direcionada.
O Google informou que notificou seus parceiros OEM com pelo menos um mês de antecedência sobre a vulnerabilidade, permitindo que fabricantes como Samsung, Xiaomi e outros preparassem patches para seus dispositivos.
Como proteger seu dispositivo
Diante de uma vulnerabilidade com exploração ativa confirmada, a recomendação é aplicar as correções disponíveis imediatamente. Medidas práticas incluem:
- Verificar atualizações: acessar Configurações → Sistema → Atualização do sistema e instalar qualquer patch pendente. O nível de segurança deve indicar 2026-06-01 ou 2026-06-05.
- Manter o Google Play Protect ativo: o serviço, habilitado por padrão em dispositivos com Google Mobile Services, analisa aplicativos e alerta sobre softwares potencialmente nocivos.
- Evitar sideloading: usuários que instalam aplicativos de fontes externas ao Google Play permanecem com risco elevado, pois esses canais são frequentemente usados para distribuir payloads de exploit.
- Monitorar dispositivos corporativos: equipes de segurança devem verificar se os terminais Android gerenciados estão no nível de patch de junho de 2026.
Dispositivos Google Pixel recebem as atualizações de forma imediata. Outros fabricantes podem levar semanas para testar e distribuir os patches para configurações de hardware específicas, o que amplia a janela de exposição.
Padrão de ameaças mobile em 2026
O CVE-2025-48595 se insere em uma tendência mais ampla de exploração de zero-days em componentes centrais de sistemas operacionais mobile. Em dezembro de 2025, o Google havia corrigido outros dois zero-days de alta gravidade (CVE-2025-48633 e CVE-2025-48572) sob exploração direcionada. Em março de 2026, outra falha em componente de exibição da Qualcomm (CVE-2026-21385) recebeu o mesmo tratamento.
Fornecedores de spyware comercial tornaram-se a força dominante por trás da maioria dos exploits zero-day direcionados ao Android, desenvolvendo e vendendo cadeias de ataque sofisticadas para clientes governamentais. A resposta do Google incluiu uma revisão de seus programas de recompensas por vulnerabilidades, agora oferecendo até US$ 1,5 milhão por determinados exploits Android.
A demora na adoção de patches permanece como um dos fatores que permitem que atores de ameaça continuem a explorar vulnerabilidades já corrigidas. O ecossistema fragmentado do Android — onde cada fabricante precisa adaptar e testar correções para seus dispositivos — amplia significativamente essa janela de risco em comparação com plataformas mais homogêneas.
Fontes
- BleepingComputer — “Google fixes one actively exploited Android zero-day, 124 flaws” (2 de junho de 2026)
- The Hacker News — “Google June 2026 Android Update Patches 124 Flaws, One Actively Exploited” (2 de junho de 2026)
- SecurityWeek — “Android Update Patches Exploited Zero-Day, 123 Other Vulnerabilities” (2 de junho de 2026)
- CISA — Known Exploited Vulnerabilities Catalog
- Android Security Bulletins — Google