Ativação da Depuração Wi-Fi Abre Porta para o Malware Mamont
Uma vulnerabilidade crítica em dispositivos Android, CVE-2026-0073, permite a execução remota de comandos sem confirmação do usuário. A falha, explorada através da funcionalidade de depuração Wi-Fi, pode levar ao roubo de dados e instalação de aplicativos maliciosos.
MundiX News·09 de junho de 2026·4 min de leitura·👁 7 views
Uma vulnerabilidade recém-descoberta em dispositivos Android, identificada como CVE-2026-0073, está permitindo que atacantes executem comandos remotamente sem qualquer confirmação do usuário. A falha afeta dispositivos rodando Android 11 e versões superiores que possuem a funcionalidade de depuração por Wi-Fi ativada. Embora o Google mencione explicitamente problemas em versões do Android 14 ao 16, a funcionalidade vulnerável está presente no código-fonte do Android 11, onde a depuração por Wi-Fi foi introduzida. Esta funcionalidade, por si só, é legítima, permitindo a conexão a dispositivos móveis para fins de instalação e teste de aplicativos, bem como para a criação de backups. Tradicionalmente, seu uso requer um pareamento com um PC e a confirmação de conexões confiáveis. No entanto, a CVE-2026-0073 contorna essa etapa de confirmação, possibilitando a interação direta com o dispositivo.
A exploração dessa vulnerabilidade segue um padrão preocupante. Um usuário com a depuração por Wi-Fi ativada pode se conectar a uma rede Wi-Fi desprotegida. Um atacante, presente na mesma rede, pode então escanear a rede em busca de endereços com portas de depuração ADB abertas. Ao explorar a CVE-2026-0073, o atacante obtém acesso à linha de comando do dispositivo móvel, permitindo a execução de uma série de comandos maliciosos. Isso inclui o acesso a listas de contatos, histórico de chamadas, mensagens SMS e aplicativos instalados. Além disso, o atacante pode remover e instalar aplicativos sem o conhecimento do usuário e até mesmo elevar os privilégios de um aplicativo já instalado, concedendo-lhe permissões especiais como Serviços de Acessibilidade e Acesso a Notificações. Com essas informações e controle, o atacante pode substituir um aplicativo legítimo por uma versão maliciosa, resultando no roubo de dados do usuário e seu envio para servidores controlados pelo atacante.
A causa raiz da vulnerabilidade reside no daemon Android Debug Bridge (adbd), especificamente na função adbd_tls_verify_cert em auth.cpp. A falha ocorre no modo Wireless Debugging / ADB-over-TCP, onde a conexão entre o PC e o dispositivo é estabelecida via TLS mútua, exigindo que o Android verifique o certificado do cliente do host conectado. Em condições normais, o adbd compara a chave pública do certificado do cliente com uma chave previamente confiável, armazenada após o pareamento ADB. O erro acontece devido ao processamento incorreto do resultado da função EVP_PKEY_cmp. O código interpreta qualquer valor diferente de zero como uma correspondência de chave bem-sucedida. Um atacante pode explorar isso substituindo o certificado TLS e utilizando um tipo de chave diferente (por exemplo, EC/Ed25519 em vez de RSA). Nesse cenário, EVP_PKEY_cmp retorna -1 (indicando tipos de chave diferentes), mas o código vulnerável interpreta isso como uma verificação bem-sucedida, contornando a autenticação TLS mútua e fazendo com que o adbd acredite erroneamente que o atacante é um host ADB confiável. Para que a exploração seja bem-sucedida, o dispositivo deve ter se conectado a um host pelo menos uma vez, e uma chave pública deve estar armazenada na lista de dispositivos confiáveis. Para se proteger, é crucial desativar a depuração por Wi-Fi quando não estiver em uso, evitar ativá-la em redes não confiáveis e manter o sistema operacional sempre atualizado com os patches de segurança mais recentes. A configuração adequada da segurança da rede Wi-Fi, incluindo o isolamento de clientes e o bloqueio de portas não confiáveis, também é fundamental. Ficar atento às notificações do dispositivo, como o aviso de conexão de um dispositivo de terceiros ao ativar a depuração por Wi-Fi, pode ser um indicativo importante de atividade suspeita.
Uma vulnerabilidade recém-descoberta em dispositivos Android, identificada como CVE-2026-0073, está permitindo que atacantes executem comandos remotamente sem qualquer confirmação do usuário. A falha afeta dispositivos rodando Android 11 e versões superiores que possuem a funcionalidade de depuração por Wi-Fi ativada. Embora o Google mencione explicitamente problemas em versões do Android 14 ao 16, a funcionalidade vulnerável está presente no código-fonte do Android 11, onde a depuração por Wi-Fi foi introduzida. Esta funcionalidade, por si só, é legítima, permitindo a conexão a dispositivos móveis para fins de instalação e teste de aplicativos, bem como para a criação de backups. Tradicionalmente, seu uso requer um pareamento com um PC e a confirmação de conexões confiáveis. No entanto, a CVE-2026-0073 contorna essa etapa de confirmação, possibilitando a interação direta com o dispositivo.
A exploração dessa vulnerabilidade segue um padrão preocupante. Um usuário com a depuração por Wi-Fi ativada pode se conectar a uma rede Wi-Fi desprotegida. Um atacante, presente na mesma rede, pode então escanear a rede em busca de endereços com portas de depuração ADB abertas. Ao explorar a CVE-2026-0073, o atacante obtém acesso à linha de comando do dispositivo móvel, permitindo a execução de uma série de comandos maliciosos. Isso inclui o acesso a listas de contatos, histórico de chamadas, mensagens SMS e aplicativos instalados. Além disso, o atacante pode remover e instalar aplicativos sem o conhecimento do usuário e até mesmo elevar os privilégios de um aplicativo já instalado, concedendo-lhe permissões especiais como Serviços de Acessibilidade e Acesso a Notificações. Com essas informações e controle, o atacante pode substituir um aplicativo legítimo por uma versão maliciosa, resultando no roubo de dados do usuário e seu envio para servidores controlados pelo atacante.
A causa raiz da vulnerabilidade reside no daemon Android Debug Bridge (adbd), especificamente na função adbd_tls_verify_cert em auth.cpp. A falha ocorre no modo Wireless Debugging / ADB-over-TCP, onde a conexão entre o PC e o dispositivo é estabelecida via TLS mútua, exigindo que o Android verifique o certificado do cliente do host conectado. Em condições normais, o adbd compara a chave pública do certificado do cliente com uma chave previamente confiável, armazenada após o pareamento ADB. O erro acontece devido ao processamento incorreto do resultado da função EVP_PKEY_cmp. O código interpreta qualquer valor diferente de zero como uma correspondência de chave bem-sucedida. Um atacante pode explorar isso substituindo o certificado TLS e utilizando um tipo de chave diferente (por exemplo, EC/Ed25519 em vez de RSA). Nesse cenário, EVP_PKEY_cmp retorna -1 (indicando tipos de chave diferentes), mas o código vulnerável interpreta isso como uma verificação bem-sucedida, contornando a autenticação TLS mútua e fazendo com que o adbd acredite erroneamente que o atacante é um host ADB confiável. Para que a exploração seja bem-sucedida, o dispositivo deve ter se conectado a um host pelo menos uma vez, e uma chave pública deve estar armazenada na lista de dispositivos confiáveis. Para se proteger, é crucial desativar a depuração por Wi-Fi quando não estiver em uso, evitar ativá-la em redes não confiáveis e manter o sistema operacional sempre atualizado com os patches de segurança mais recentes. A configuração adequada da segurança da rede Wi-Fi, incluindo o isolamento de clientes e o bloqueio de portas não confiáveis, também é fundamental. Ficar atento às notificações do dispositivo, como o aviso de conexão de um dispositivo de terceiros ao ativar a depuração por Wi-Fi, pode ser um indicativo importante de atividade suspeita.
