O Google confirmou a exploração ativa da CVE-2026-21385, uma vulnerabilidade de alta gravidade, nota 7,8 no Sistema de Pontuação de Vulnerabilidade Comum (CVSS). O problema está presente em um componente gráfico Qualcomm de código aberto amplamente usado em dispositivos Android.
A falha, que envolve leitura indevida de memória, permite que atacantes acessem dados sensíveis do dispositivo da vítima sem necessidade de interação do usuário.
A correção foi incluída no boletim de segurança do Android de março de 2026, que também resolve a CVE-2026-0006, classificada como crítica por permitir execução remota de código no componente System sem qualquer privilégio adicional.
O que está quebrado
Para entender o problema, é preciso entender o que acontece dentro de um processador quando ele processa imagens e gráficos. O componente afetado realiza cálculos para reservar espaço na memória do aparelho, espaço que vai guardar, temporariamente, os dados visuais que o dispositivo precisa exibir.
O problema está em dois erros que se somam. O primeiro é chamado de estouro de inteiro (integer overflow), quando o componente faz um cálculo que ultrapassa o valor máximo que o sistema consegue representar, o número “dá a volta” e recomeça do zero.
O programa, então, passa a trabalhar com valores errados sem perceber. O segundo erro é consequência direta do primeiro, já que com esses valores incorretos, o componente começa a ler regiões da memória que não deveria acessar. Um comportamento técnico chamado de buffer overread, ou leitura além dos limites.
O resultado é que a memória do dispositivo da vítima fica exposta. Dados que deveriam estar isolados em regiões protegidas, como tokens de autenticação de aplicativos, informações de sessões ativas ou outros dados privados, podem ser lidos por quem explorar a falha com sucesso.
Exploração limitada e direcionada
O Google confirmou que a CVE-2026-21385 já está sendo ativamente explorada. A empresa usou a expressão exploração limitada e direcionada para descrever o cenário, o que não quer dizer que o risco é pequeno.
Significa que, até o momento em que o boletim foi publicado, a falha não estava sendo usada de forma massiva e indiscriminada, como acontece com ataques que tentam infectar qualquer dispositivo vulnerável que encontrarem.
Em vez disso, sugere que grupos sofisticados estão aplicando a técnica contra alvos específicos e escolhidos previamente. Esse é o padrão típico de operações de espionagem digital, de empresas que desenvolvem ferramentas de vigilância comercial, ou de outros atores com interesse em comprometer dispositivos de pessoas determinadas.
A empresa não divulgou detalhes técnicos sobre quem está por trás dos ataques nem quem foram as vítimas identificadas.
A linha do tempo
A equipe de segurança do Android, dentro do próprio Google, descobriu e reportou a falha à Qualcomm. Trata-se da principal fornecedora de chipsets para smartphones, conhecidos como Snapdragon, em 18 de dezembro de 2025.
A Qualcomm, por sua vez, notificou seus clientes, os fabricantes de smartphones que usam seus chips, como Samsung, Motorola e Xiaomi, em 2 de fevereiro de 2026. A correção chegou ao público com o boletim de segurança do Android de março de 2026, que inclui patches para 129 vulnerabilidades no total.
O código corrigido também será disponibilizado publicamente no repositório AOSP, o Android Open Source Project, nas 48 horas seguintes à publicação do boletim oficial, permitindo que qualquer fabricante ou desenvolvedor aplique as correções em suas próprias versões do sistema.
Outra ameaça no mesmo pacote
A CVE-2026-21385 não veio sozinha. O mesmo pacote de atualizações de março de 2026 corrige uma vulnerabilidade ainda mais severa, a CVE-2026-0006.
Essa segunda falha está localizada no componente System, que é o núcleo do Android, a camada de software responsável por gerenciar todas as funções fundamentais do sistema operacional. O tipo de ataque que ela permite é chamado de execução remota de código.
Na prática, isso significa que um atacante poderia fazer o dispositivo da vítima executar qualquer código que quisesse, a partir de qualquer lugar do mundo, pela internet sem que a vítima precise clicar em nada, abrir nenhum arquivo ou conceder qualquer permissão.
As duas vulnerabilidades, CVE-2026-21385 e CVE-2026-0006, foram corrigidas no boletim de segurança do Android de março de 2026. O código-fonte corrigido também será disponibilizado no AOSP em até 48 horas após a publicação do boletim.
Siga o TecMundo nas redes sociais e no YouTube. Para receber notícias de tecnologia e segurança, assine nossa newsletter.