O boletim de segurança Android publicado ontem revela que o Google descobriu e está corrigindo uma vulnerabilidade crítica na plataforma (CVE-2026-0073, ainda sem CVSS). Ela permite a execução remota de código por um atacante em proximidade física (adjacente), sem necessidade de privilégios adicionais ou interação da vítima. O comunicado do Android Open Source Project (AOSP) informa que a falha afeta os componentes do sistema nas versões 14, 15, 16 e 16-qpr2, bem como o módulo adbd do Google Play System Updates. A classificação como zero-day decorre do fato de que a exploração não exige qualquer ação do usuário e pode ocorrer por meio de acesso próximo ao dispositivo.
Detalhes da falha e escopo do impacto
De acordo com o boletim, a vulnerabilidade está localizada no sistema operacional (componente “System”) e no módulo adbd do Project Mainline. A exploração bem-sucedida pode conceder ao invasor a capacidade de executar código arbitrário com privilégios de shell — nível de acesso significativo, embora inferior ao root completo. O documento enfatiza que a falha é especialmente perigosa porque não demanda engano ou clique da vítima, bastando que o atacante esteja em proximidade (por exemplo, na mesma rede local ou por meio de conexão sem fio próxima). O boletim classifica a gravidade como “Crítica” e atribui o identificador CVE-2026-0073 ao problema. Desenvolvedores e administradores de sistemas devem priorizar a aplicação do patch, pois sistemas não atualizados permanecem expostos a ataques silenciosos em ambientes compartilhados.
Mitigação e recomendações para administradores
O AOSP recomenda que todos os dispositivos Android atualizem para o nível de patch de segurança de 1º de maio de 2026 (2026-05-01) ou superior. O boletim reforça que as plataformas Android mais recentes incluem proteções que dificultam a exploração, e que o Google Play Protect monitora ativamente aplicativos potencialmente nocivos. Para administradores de sistemas e desenvolvedores, a orientação é verificar a versão do patch de segurança em dispositivos gerenciados, priorizar a atualização de dispositivos em redes corporativas e ambientes de desenvolvimento, e considerar o monitoramento de tráfego de rede local para detectar tentativas de exploração. A correção está disponível nos pacotes de atualização do Android e do Google Play System Updates (módulo adbd).
