Uma vulnerabilidade de alta severidade que permaneceu oculta por oito anos no ecossistema de segurança Samsung Knox expôs milhões de smartphones e tablets da linha Galaxy a riscos de comprometimento profundo do sistema operacional. A falha estrutural permitia a corrupção da memória do kernel a partir de aplicativos não confiáveis, abrindo caminho para que atacantes com acesso local obtivessem controle total sobre os dispositivos afetados.
Dinâmica do vetor Use-After-Free no núcleo de segurança
A vulnerabilidade, catalogada como CVE-2026-20971 e com pontuação de gravidade de 7,8 no índice CVSS, é do tipo Use-After-Free (UAF). Descoberta pelos pesquisadores do LucidBit Labs, a brecha de engenharia residia especificamente na forma como o Knox gerenciava a interação lógica entre duas de suas camadas de proteção de baixo nível: os componentes PROCA (Process Defender) e FIVE (Flash Integrity Verification Engine).
Segundo o relatório técnico, a exploração do defeito permitia que um aplicativo malicioso sem permissões especiais do usuário, forçasse uma condição de corrupção de memória diretamente no espaço do kernel. Embora a presença do mecanismo nativo de integridade de fluxo de controle do kernel da Samsung mitigasse a execução direta de chamadas de funções arbitrárias (o cenário mais perigoso para controle remoto), os analistas demonstraram que ainda era logisticamente viável contornar essas barreiras para violar a estabilidade do sistema e escalar privilégios locais.
Janela temporal, escopo de modelos e a correção silenciosa
A extensão da falha impressiona devido à sua longevidade na cadeia de suprimentos de software da fabricante. O bug de código persistiu ao longo de múltiplas gerações de hardware, afetando praticamente todos os aparelhos lançados entre as linhas Galaxy S9 e Galaxy S25, além de abranger dispositivos intermediários da série A. A exposição foi agnóstica em termos de arquitetura de silício, impactando tanto os chipsets proprietários Exynos quanto as plataformas Qualcomm Snapdragon que rodam o Android customizado pela marca.
A Samsung neutralizou a vulnerabilidade de forma definitiva por meio da liberação de pacotes de correção integrados à atualização de segurança mensal de janeiro de 2026. Como a brecha técnica exigia privilégios locais para o gatilho inicial, o impacto prático dependia da execução de um aplicativo com código adulterado instalado no aparelho ou de cenários onde o dispositivo físico caísse temporariamente em mãos erradas.
