Atualização de junho do Android do Google corrige uma falha de escalada de privilégios zero-click sob exploração ativa

O boletim de segurança do Android de junho de 2026 do Google corrige CVE-2025-48595, uma falha crítica de escalada de privilégios zero-click no Android Framework que a empresa confirma estar sendo explorada em ataques direcionados. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a vulnerabilidade ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV), o que equivale a uma diretiva oficial "corrija imediatamente" das autoridades federais de segurança cibernética.

Zero-click significa que nenhuma interação do usuário é necessária. Um atacante não precisa enganar a vítima para abrir um link, instalar um aplicativo ou conceder uma permissão. Combinada com a escalada de privilégios — a capacidade de elevar-se ao acesso em nível de sistema — essa classe de vulnerabilidade está entre as mais perigosas na segurança móvel. O resultado prático é que um dispositivo alvo pode ser comprometido sem que o proprietário tome qualquer ação que sinalize um ataque.

O que é afetado

CVE-2025-48595 impacta dispositivos com Android 14, 15, 16 e 16 QPR2. O boletim de segurança de junho de 2026, publicado em 1º de junho e atualizado em 3 de junho, aborda 124 vulnerabilidades no total nos componentes Framework, sistema e kernel do Android. O nível de patch de segurança 2026-06-05 ou posterior resolve todos os problemas relatados neste boletim.

Os usuários podem verificar seu nível de patch acessando Configurações → Sobre o telefone → Versão do Android → Nível do patch de segurança. Em dispositivos que recebem atualizações de segurança mensais do Android diretamente do Google — telefones Pixel e alguns flagships Samsung Galaxy — a atualização está sendo lançada agora. Dispositivos de outros fabricantes podem levar várias semanas a mais dependendo dos cronogramas de atualização da operadora e do OEM.

O que significa a listagem da CISA no KEV

O catálogo de vulnerabilidades exploradas conhecidas (KEV) da CISA é uma lista de correção obrigatória para agências federais dos EUA, com prazos vinculantes para aplicação de patches. Quando a CISA adiciona uma vulnerabilidade ao catálogo KEV, significa que a agência confirmou exploração no mundo real — não risco teórico — com um nível de confiança alto o suficiente para impor prazos federais de correção.

Para organizações civis, a listagem da CISA no KEV é efetivamente um aviso de alta prioridade: esta vulnerabilidade está sendo ativamente armada. A linguagem de divulgação do Google — "exploração limitada e direcionada" — sugere que ainda não é uma campanha de exploração em massa, mas sim ataques provavelmente ligados a operadores de spyware comerciais ou atores estatais que rotineiramente adquirem ou descobrem exploits móveis zero-click para vigilância direcionada.

Nenhuma solução alternativa: a atualização é a única correção

Não há alteração de configuração ou mitigação do lado do usuário que feche essa vulnerabilidade. O componente Android Framework onde a falha reside não pode ser isolado ou desabilitado sem quebrar a funcionalidade principal do sistema. A única proteção é aplicar o patch de segurança de junho de 2026.

Usuários que não podem atualizar imediatamente — porque o fabricante do dispositivo ainda não enviou o patch — devem estar cientes de que este é um cenário de exploração ativa, não um risco teórico futuro. Indivíduos que são alvos de vigilância de alto valor (jornalistas, executivos, ativistas, funcionários governamentais) enfrentam o maior risco dessa classe de exploit zero-click direcionado, pois esses ataques são tipicamente caros para implantar e são direcionados em vez de indiscriminados.

O boletim de junho também corrige CVE-2026-28577, uma falha de escalada de privilégios via tapjacking, e vários outros problemas de alta gravidade nos componentes do kernel e mídia. Qualquer dispositivo Android que possa receber o patch de junho de 2026 deve fazê-lo assim que estiver disponível pelo fabricante.