O Google e a Qualcomm confirmaram a existência de uma vulnerabilidade de gravidade elevada em um componente de código aberto da Qualcomm que se integra em muitos dispositivos Android, e há indícios de que já foi utilizado em ataques direcionados. A falha identificada como CVE-2026-21385 afeta o módulo gráfico e deve-se a um erro no manejo de memória - um excesso/leitura fora de limites provocado por uma operação aritmética sobre tamanhos (integer overflow) que termina lendo dados além do espaço reservado -, algo que a Qualcomm descreve em seu boletim de segurança como uma corrupção de memória ao adicionar dados fornecidos pelo usuário sem verificar o espaço disponível ( Aviso da Qualcomm) e que o Google refletiu em sua nota mensal de segurança do Android ( boletim de março 2026).
Em termos simples, uma leitura ou escrita fora dos limites de um búfer pode permitir que um atacante obtenha informação que não deve estar acessível ou mesmo execute código com privilégios mais altos, dependendo de como se explorou a condição. Neste caso particular, a Qualcomm explica que a raiz do problema é uma soma ou cálculo de tamanho que supera o que o búfer pode conter, e isso deriva na corrupção de memória. Embora os fabricantes frequentemente fechem estas vias com adesivos, o detalhe que preocupa é que o Google indicou que existem sinais de uma exploração limitada e dirigida, o que sugere que pelo menos em alguns ambientes mal-intencionados já se está aproveitando a falha.
A cadeia temporária por trás da descoberta também é relevante. Segundo a Qualcomm, a vulnerabilidade foi relatada através da equipe de segurança do Android em 18 de dezembro de 2025 e os clientes foram notificados em 2 de fevereiro de 2026. O Google incluiu a correção dentro da sua atualização de março de 2026, que não só aborda esta incidência, mas sim corrige em total 129 falhas de segurança, entre eles problemas críticos que permitem execução remota de código ou escalada de privilégios ( detalhes CVE-2026-21385 em NVD e detalhes CVE-2026-0006 em NVD). O boletim do Google apresenta dois níveis de adesivo -2026-03-01 e 2026-03-05 - para facilitar os parceiros e fabricantes a aplicação de correções segundo seu calendário e suporte de dispositivos; o segundo nível inclui também correções para componentes do kernel e contribuições de fornecedores como Arm, Imagination Technologies, MediaTek, Qualcomm e Unisoc ( boletim Android).
Para o usuário meio a boa notícia é que a mitigação é clara: instalar os adesivos que publicam tanto o Google quanto o fabricante do telefone. No entanto, a realidade do ecossistema Android implica que a disponibilidade do adesivo depende do fabricante e do modelo; alguns dispositivos receberão a correção rapidamente e outros demoram mais, ou em casos de terminais muito antigos pode nunca chegar. Actualizar o sistema operacional e os sistemas de segurança assim que estiverem disponíveis É a defesa mais eficaz. Verifique em Ajustes > Segurança ou na secção de informação do sistema o “nível de segurança” e espera que o seu fabricante publique o pacote correspondente.
Entretanto, há medidas práticas que ajudam a reduzir o risco: evitar instalar aplicativos fora de lojas oficiais, limitar permissões para apps - especialmente permissões relacionadas com armazenamento, câmera ou execução de código - e manter ativadas as proteções do Google Play (Play Protect). Para empresas e administradores de dispositivos, além de aplicar os adesivos o mais rapidamente possível, convém monitorizar telemetria e alertas de segurança, aplicar políticas de bloqueio de aplicativos não autorizadas e contar com soluções de gestão de endpoints que permitam actualizações centralizadas.
Não há descrições públicas detalhadas de como a vulnerabilidade está sendo explorada no terreno, e isso é intencional: divulgar dados técnicos completos quando há indícios de exploração ativa pode facilitar a reprodução do ataque. Ainda assim, a existência de indícios de uso no mundo real obriga a levar o assunto a sério. Se notas comportamentos estranhos no seu telefone —consumo inesperado de bateria, atividade de rede incomum ou pedidos de permissões raras — atualizar e, se necessário, contacte o suporte do seu fabricante.
O episódio é um lembrete de que o software de baixo nível nos chips e controladores, muitas vezes desenvolvido por terceiros e reutilizado em múltiplas marcas, é uma superfície de ataque crítica. Uma única livraria vulnerável pode afetar milhões de dispositivos, e a coordenação entre descubridores, Google, fabricantes e fornecedores de hardware é fundamental para corrigir os problemas antes de serem testados. Para ler fontes oficiais e detalhes técnicos publicados pelo Google e Qualcomm você pode consultar o boletim de segurança Android ( Março 2026) e o aviso da Qualcomm ( bulletin da Qualcomm), bem como as entradas na base de dados de vulnerabilidades do NIST para os CVE mencionados ( CVE-2026-21385 e CVE-2026-0006).
Em resumo: a detecção de CVE-2026-21385 enfatiza a importância de manter dispositivos atualizados e de que os fabricantes acelerem a implantação de adesivos. Embora a exploração pareça limitada e dirigida, a natureza da falha torna prudente não atrasar a instalação das actualizações quando chegarem ao dispositivo.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...