Vulnerabilidade Crítica no Samsung KNOX Afetou Diversos Modelos Galaxy por Anos
Uma falha de segurança no framework Samsung KNOX, identificada como CVE-2026-20971, permitiu que aplicativos não privilegiados corrompessem a memória do kernel em vários dispositivos Galaxy. A vulnerabilidade, presente por cerca de oito anos, só foi corrigida em janeiro de 2026.
MundiX News·26 de junho de 2026·5 min de leitura·👁 1 views
Pesquisadores da LucidBit Labs descobriram uma vulnerabilidade significativa no framework Samsung KNOX, que afetou diversas gerações de smartphones da série Galaxy. O bug permitia que um aplicativo com privilégios limitados pudesse corromper a memória do kernel. A falha permaneceu sem correção por aproximadamente oito anos, com o patch de segurança sendo liberado apenas em janeiro de 2026.
A vulnerabilidade, rastreada como CVE-2026-20971 e classificada com um score CVSS de 7.8, está relacionada a dois componentes da Samsung: PROCA e FIVE. O PROCA opera dentro do kernel e é responsável por verificar processos antes de sua execução, impedindo a execução de código não autorizado. Para realizar essa verificação, o subsistema interage com o FIVE, um mecanismo de controle de integridade baseado na Linux Integrity Measurement Architecture e customizado pelos engenheiros da Samsung. O FIVE monitora a integridade de cada processo em execução e armazena seu status atual em um objeto chamado task_integrity. Quando um processo executa a chamada de sistema execve(), que é utilizada para iniciar um novo programa, o sistema cria um novo objeto para ele e libera o antigo. Em condições normais, esse processo é quase instantâneo. No entanto, a natureza multitarefa do Android permitiu a criação de uma condição de corrida (race condition).
Um thread poderia obter um ponteiro para o objeto task_integrity e, em seguida, ser suspenso. Enquanto o thread estivesse em pausa, outro thread liberaria esse objeto. Ao ser retomado, o primeiro thread tentaria acessar a memória que já havia sido liberada, resultando em um problema do tipo use-after-free. Os pesquisadores observaram que a exploração dessa falha era significativamente dificultada pela proteção Kernel Control Flow Integrity (KCFI), que monitora chamadas de função indiretas e impede que um atacante execute código arbitrário. Portanto, transformar um ataque use-after-free em um exploit completo era um desafio considerável. Contudo, os pesquisadores encontraram uma maneira de contornar essa proteção. Eles forçaram um processo a carregar um arquivo que não podia ser executado (especificamente, um arquivo que não estivesse no formato ELF). Após uma série de manipulações adicionais, tornou-se possível reutilizar a área de memória liberada com dados controlados pelo atacante.
De acordo com a LucidBit Labs, o ataque poderia ser iniciado mesmo a partir de um aplicativo não confiável. Uma exploração bem-sucedida resultaria na corrupção da memória do kernel, abrindo potencialmente caminho para um controle mais profundo do dispositivo. No entanto, o boletim de segurança emitido pelos desenvolvedores da Samsung indica que a exploração da vulnerabilidade requer acesso físico ao dispositivo e interação do usuário. Os especialistas da Samsung afirmam que o problema foi resolvido com a liberação da atualização de segurança de janeiro. A vulnerabilidade afetou smartphones Galaxy da linha S9 até S25, além de modelos da série Galaxy A e dispositivos equipados com processadores Exynos e Qualcomm. Os sistemas operacionais listados como vulneráveis incluem Android 13, 14, 15 e 16. Embora a vulnerabilidade não pudesse ser explorada remotamente, os pesquisadores ressaltam que atacantes poderiam primeiro comprometer um smartphone da vítima através de outro malware e, em seguida, utilizar a CVE-2026-20971 para escalonamento de privilégios. A comprometimento de um telefone corporativo, por sua vez, poderia servir como ponto de partida para um ataque à rede interna da organização.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores da LucidBit Labs descobriram uma vulnerabilidade significativa no framework Samsung KNOX, que afetou diversas gerações de smartphones da série Galaxy. O bug permitia que um aplicativo com privilégios limitados pudesse corromper a memória do kernel. A falha permaneceu sem correção por aproximadamente oito anos, com o patch de segurança sendo liberado apenas em janeiro de 2026.
A vulnerabilidade, rastreada como CVE-2026-20971 e classificada com um score CVSS de 7.8, está relacionada a dois componentes da Samsung: PROCA e FIVE. O PROCA opera dentro do kernel e é responsável por verificar processos antes de sua execução, impedindo a execução de código não autorizado. Para realizar essa verificação, o subsistema interage com o FIVE, um mecanismo de controle de integridade baseado na Linux Integrity Measurement Architecture e customizado pelos engenheiros da Samsung. O FIVE monitora a integridade de cada processo em execução e armazena seu status atual em um objeto chamado task_integrity. Quando um processo executa a chamada de sistema execve(), que é utilizada para iniciar um novo programa, o sistema cria um novo objeto para ele e libera o antigo. Em condições normais, esse processo é quase instantâneo. No entanto, a natureza multitarefa do Android permitiu a criação de uma condição de corrida (race condition).
Um thread poderia obter um ponteiro para o objeto task_integrity e, em seguida, ser suspenso. Enquanto o thread estivesse em pausa, outro thread liberaria esse objeto. Ao ser retomado, o primeiro thread tentaria acessar a memória que já havia sido liberada, resultando em um problema do tipo use-after-free. Os pesquisadores observaram que a exploração dessa falha era significativamente dificultada pela proteção Kernel Control Flow Integrity (KCFI), que monitora chamadas de função indiretas e impede que um atacante execute código arbitrário. Portanto, transformar um ataque use-after-free em um exploit completo era um desafio considerável. Contudo, os pesquisadores encontraram uma maneira de contornar essa proteção. Eles forçaram um processo a carregar um arquivo que não podia ser executado (especificamente, um arquivo que não estivesse no formato ELF). Após uma série de manipulações adicionais, tornou-se possível reutilizar a área de memória liberada com dados controlados pelo atacante.
De acordo com a LucidBit Labs, o ataque poderia ser iniciado mesmo a partir de um aplicativo não confiável. Uma exploração bem-sucedida resultaria na corrupção da memória do kernel, abrindo potencialmente caminho para um controle mais profundo do dispositivo. No entanto, o boletim de segurança emitido pelos desenvolvedores da Samsung indica que a exploração da vulnerabilidade requer acesso físico ao dispositivo e interação do usuário. Os especialistas da Samsung afirmam que o problema foi resolvido com a liberação da atualização de segurança de janeiro. A vulnerabilidade afetou smartphones Galaxy da linha S9 até S25, além de modelos da série Galaxy A e dispositivos equipados com processadores Exynos e Qualcomm. Os sistemas operacionais listados como vulneráveis incluem Android 13, 14, 15 e 16. Embora a vulnerabilidade não pudesse ser explorada remotamente, os pesquisadores ressaltam que atacantes poderiam primeiro comprometer um smartphone da vítima através de outro malware e, em seguida, utilizar a CVE-2026-20971 para escalonamento de privilégios. A comprometimento de um telefone corporativo, por sua vez, poderia servir como ponto de partida para um ataque à rede interna da organização.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
