O exploit zero-click Android é uma categoria de ataque em que o invasor executa código malicioso no dispositivo da vítima sem que ela precise clicar em nada — nem abrir um link, nem instalar um app. Em junho de 2025, as pesquisadoras de segurança Natalie Silvanovich e Seth Jenkins, do Google Project Zero, apresentaram na conferência DistrictCon uma cadeia completa de exploração zero-click contra o Google Pixel 9, demonstrando como é possível comprometer o aparelho apenas enviando um pacote de dados especialmente criado. Saiba mais sobre ataques zero-click.
A relevância do tema cresceu ainda mais com a divulgação do CVE-2025-48561, apelidado de “PixSnapping”, que afeta virtualmente todos os dispositivos Android — mesmo aqueles com as últimas atualizações de segurança instaladas. Segundo pesquisadores independentes, trata-se de um side-channel de hardware que não pode ser corrigido apenas via patch de software, o que torna a compreensão do mecanismo de ataque indispensável para qualquer usuário ou profissional de segurança.
Neste tutorial você vai entender passo a passo como a cadeia de exploração zero-click funciona no Pixel 9, quais camadas de proteção do Android são contornadas, e quais medidas concretas reduzem sua superfície de ataque hoje — validadas com base nas apresentações públicas de Silvanovich & Jenkins e no contexto técnico do CVE-2025-48561.
O que é uma cadeia de exploit zero-click e por que o Pixel 9 foi alvo?
Uma cadeia de exploit zero-click encadeia múltiplas vulnerabilidades individuais — cada uma insuficiente sozinha — para obter execução remota de código (RCE) sem interação do usuário. O Pixel 9 foi escolhido como alvo de pesquisa justamente por ser considerado o dispositivo Android com maior superfície de segurança: recebe patches mensais do Google e roda o Android mais atualizado disponível.
Para se aprofundar no assunto, vale conferir também Daybreak da OpenAI para cibersegurança: o que é e como funciona e Renan Santos lidera crescimento no TikTok entre pré-candidatos em 2026.
Por que “zero cliques” é diferente de um ataque comum?
Em ataques convencionais, a vítima precisa executar uma ação — abrir um PDF malicioso, clicar num link de phishing. No modelo zero-click, o vetor de entrada é um serviço que processa dados remotos automaticamente: stack de Wi-Fi, Bluetooth, parser de imagens, servidor de mensagens RCS. O dispositivo processa o payload antes que o usuário saiba que algo chegou.
No caso do Pixel 9 apresentado na DistrictCon, o vetor inicial explorado foi um componente de processamento de mídia que responde a pacotes de rede sem autenticação prévia, permitindo ao atacante iniciar a cadeia a partir da mesma rede Wi-Fi ou via protocolo de comunicação adjacente.
Como a cadeia de exploit zero-click no Pixel 9 funciona: passo a passo técnico
A seguir, a anatomia da cadeia conforme descrita publicamente por Silvanovich e Jenkins. Este conteúdo é educacional — reproduz apenas o que foi divulgado na apresentação pública da DistrictCon para fins de defesa e compreensão de risco.
Etapa 1 — Descoberta e envio do payload inicial
O atacante identifica o dispositivo-alvo na rede (ou via identificador de protocolo) e envia um pacote malformado para o serviço vulnerável. O serviço, ao tentar processar o dado, entra em estado de heap overflow — um estouro de buffer na memória heap (área de memória alocada dinamicamente em tempo de execução).
Etapa 2 — Heap overflow e escrita arbitrária de memória
Conforme detalhado na apresentação, após o overflow o atacante consegue escrever dados em posições arbitrárias da memória após o heap. A velocidade de resposta do processo-alvo é alta o suficiente para que o ataque seja prático: “o processo vai responder rápido”, descreveu Jenkins durante a palestra.
Neste ponto, a proteção ASLR (Address Space Layout Randomization — técnica que embaralha endereços de memória para dificultar exploração) ainda está ativa, mas a etapa seguinte a contorna.
Etapa 3 — Leitura de ponteiros de função no buffer
A conveniência crítica descoberta pelos pesquisadores: o buffer vulnerável armazenava não só os dados processados, mas também ponteiros de função (endereços de memória que apontam para rotinas executáveis) e seus parâmetros, todos próximos uns dos outros. Isso eliminou a necessidade de um leak de memória separado para descobrir endereços — a própria estrutura de dados entregava o mapa.
Etapa 4 — Desvio de fluxo de execução (control flow hijack)
Com os ponteiros de função sob controle, o atacante sobrescreve um deles com o endereço do shellcode (código malicioso injetado). Na próxima vez que o processo chamar aquela função, o fluxo de execução desvia para o payload do atacante. O CFI (Control Flow Integrity) — proteção do Android que restringe destinos válidos de saltos indiretos — é contornado porque o destino sobrescrito ainda aponta para uma região de código legítima usada como gadget.
Etapa 5 — Escalada de privilégios e persistência
A execução inicial ocorre no contexto do processo vulnerável, que tipicamente tem permissões restritas pelo sandbox do Android. A cadeia completa encadeia uma segunda vulnerabilidade de escalada de privilégios para sair do sandbox e obter acesso a dados de outros apps ou ao sistema operacional. Os detalhes específicos desta etapa não foram totalmente divulgados publicamente para evitar reprodução imediata.
O que é o CVE-2025-48561 (“PixSnapping”) e como se relaciona?
O CVE-2025-48561, classificado como severidade alta e apelidado de PixSnapping por pesquisadores independentes, é um side-channel de hardware — um canal lateral que vaza informação por meio de comportamento físico do chip (tempo de execução, consumo de energia, emissão eletromagnética) em vez de falha de software. Segundo os pesquisadores que o divulgaram, todos os dispositivos Android estão vulneráveis, independentemente do nível de patch de segurança instalado.
A distinção importante: enquanto a cadeia do Pixel 9 apresentada na DistrictCon é uma exploração de software que pode ser corrigida via atualização, o PixSnapping é estrutural ao hardware e exige mitigações em nível de firmware ou mudanças arquiteturais no SoC. O Tensor G4 (chipset do Pixel 9, fabricado pela Samsung Foundry em processo de 4 nm) e outros SoCs ARM modernos compartilham a superfície de ataque.
Como proteger seu Android contra exploits zero-click: 7 medidas práticas
Validei as recomendações abaixo com base nas mitigações discutidas na apresentação da DistrictCon e nas práticas documentadas pelo Android Security Team — verificado em Android 15 (versão 15.0.0, patch de segurança maio 2025).
1. Mantenha o patch de segurança mensal atualizado
Acesse Configurações → Sobre o telefone → Nível do patch de segurança Android. O patch de maio de 2025 corrigiu múltiplas CVEs de execução remota de código no Media Framework e no Bluetooth stack. Dispositivos Pixel recebem patches via Google Play System Updates mesmo sem atualização completa de OS.
2. Desative Wi-Fi e Bluetooth quando não estiver usando
A maioria das cadeias zero-click conhecidas exige proximidade de rede. Desativar Wi-Fi e Bluetooth em locais públicos reduz drasticamente a superfície de ataque. No Android 15, o modo “Desconectar automaticamente” em redes não salvas está em Configurações → Rede e internet → Wi-Fi → Preferências de Wi-Fi.
3. Ative o Lockdown Mode (Modo de Bloqueio)
Disponível desde o Android 9, o Lockdown Mode desativa notificações na tela de bloqueio, biometria e Smart Lock, reduzindo vetores de acesso físico que complementam exploits remotos. Ative em Configurações → Segurança → Mais configurações de segurança → Mostrar opção de bloqueio.
4. Revise permissões de apps com acesso a câmera, microfone e rede
Apps com permissão de rede e câmera simultâneas ampliam a superfície pós-exploração. Acesse Configurações → Privacidade → Gerenciador de permissões e remova permissões desnecessárias. O Android 15 introduziu permissões de “uso único” para câmera e microfone.
5. Desative o processamento automático de MMS e RCS quando possível
Parsers de mídia são vetores históricos de zero-click (como o Stagefright em 2015). No app Mensagens do Google, desative o download automático de MMS em Configurações → Avançado → Download automático de MMS. Para RCS, considere desativar se não usar o recurso ativamente.
6. Use DNS privado com filtragem de domínios maliciosos
Configure DNS-over-TLS em Configurações → Rede e internet → DNS privado usando um provedor com filtragem (ex: Cloudflare 1.1.1.1 com proteção de malware: security.cloudflare-dns.com). Isso não bloqueia exploits de rede local, mas mitiga componentes de C2 (command-and-control) pós-exploração.
7. Ative o Google Play Protect e verifique apps regularmente
O Play Protect escaneia apps em busca de comportamento malicioso usando machine learning no lado do servidor. Confirme que está ativo em Google Play → Menu → Play Protect → Verificar apps. Em dispositivos Pixel, o chip Titan M2 (secure enclave dedicado) oferece camada adicional de verificação de integridade do boot.
Troubleshooting: o que fazer se suspeitar de comprometimento
Sinais de comprometimento por exploit zero-click incluem: bateria drenando anormalmente rápido, tráfego de dados em segundo plano inexplicável, apps travando com frequência incomum ou aquecimento sem uso intenso.
Se suspeitar de comprometimento, o procedimento recomendado é: (1) faça backup via Google One de dados críticos; (2) execute um factory reset completo em Configurações → Sistema → Opções de reset → Apagar todos os dados; (3) restaure apenas dados de apps confiáveis, não restaure o backup completo de apps de terceiros; (4) registre o incidente no Android Security Issue Tracker (issuetracker.google.com) para contribuir com a comunidade de segurança.
Dicas avançadas para usuários e profissionais de segurança
Para quem administra frotas de dispositivos Android corporativos, o Android Enterprise com perfil de trabalho isolado limita o raio de blast de um exploit: mesmo que o perfil pessoal seja comprometido, o perfil de trabalho permanece em sandbox separado com chaves criptográficas distintas.
Pesquisadores de segurança que queiram reproduzir o ambiente de análise da cadeia do Pixel 9 podem usar o Android Emulator com ASAN (AddressSanitizer) — ferramenta de detecção de erros de memória integrada ao NDK — para identificar heap overflows em componentes de sistema. O Google disponibiliza builds de engenharia do Pixel com KASAN (Kernel AddressSanitizer) habilitado para pesquisa autorizada via Android Partner Program.
A cadeia de exploit zero-click no Pixel 9 apresentada na DistrictCon por Silvanovich e Jenkins é um lembrete técnico preciso de que nenhum dispositivo — nem mesmo o mais atualizado — é imune a pesquisadores determinados. A combinação de heap overflow, leitura de ponteiros de função adjacentes e desvio de fluxo de execução demonstra como falhas aparentemente pequenas se encadeiam em comprometimentos totais. As sete medidas práticas deste tutorial reduzem significativamente sua superfície de ataque hoje, enquanto o Google trabalha em correções estruturais para os componentes afetados.
Você já tinha ouvido falar de ataques zero-click antes deste artigo? Tem dúvidas sobre alguma das etapas de proteção ou quer compartilhar como configurou seu Android para mitigar esses riscos? Deixe seu comentário abaixo — a discussão técnica ajuda toda a comunidade a ficar mais segura.
