Alerta Crítico Xiaomi: Risco de Root por Vídeos Até Atualização de Março

Horário
alerta critico xiaomi risco root videos atualizacao marco

Usuários de dispositivos Xiaomi, incluindo marcas Redmi e POCO, foram alertados sobre uma grave vulnerabilidade de segurança que pode permitir a invasão do kernel e a obtenção de permissões de root sem qualquer interação do usuário, bastando a execução de um arquivo malicioso, como um vídeo. A correção para esta falha crítica, identificada como CVE-2026-0106 no driver da Unidade de Processamento de Vídeo (VPU) do Android, só será disponibilizada com a atualização de segurança de fevereiro de 2026, cujo lançamento está previsto para começar na primeira semana de março.

Este cenário coloca os dispositivos em risco por um período estimado de 15 dias, dependendo de quando o usuário receberá o patch. A Xiaomi, que está celebrando o Festival de Ano Novo Chinês entre 12 de fevereiro e 3 de março, pausou o desenvolvimento do HyperOS durante este período, o que atrasou a distribuição da correção de segurança esperada.

Detalhes da Vulnerabilidade Crítica (CVE-2026-0106)

A vulnerabilidade em questão afeta componentes cruciais do sistema operacional, especificamente o driver do VPU (Video Processing Unit). Pesquisadores de segurança identificaram que esta brecha pode ser explorada remotamente, o que significa que o atacante não precisa de um clique ou de um link malicioso para comprometer o aparelho.

A exploração bem-sucedida desta falha permite que aplicações maliciosas consigam infiltrar-se na memória do kernel do dispositivo, o que é um dos níveis mais profundos de acesso em um sistema operacional. Uma vez dentro do kernel, o invasor pode obter permissões de root, conferindo controle total sobre o dispositivo sem o conhecimento ou consentimento do proprietário.

Embora a vulnerabilidade não exija que o usuário abra um link específico, a simples presença de um aplicativo infectado no dispositivo já é suficiente para que o ataque ocorra.

Impacto em Dispositivos Xiaomi, Redmi e POCO

A ameaça é generalizada para a linha de dispositivos da fabricante chinesa que ainda não receberam o patch de segurança de fevereiro de 2026, o que inclui a maioria dos aparelhos rodando o sistema HyperOS ou a MIUI.

A recomendação urgente da comunidade de segurança é que os usuários sigam rigorosamente as diretrizes de segurança até que a atualização de março seja instalada.

Veja também:

Medidas de Proteção Imediatas até a Correção

Dada a gravidade da falha e o período de espera até o início de março, a orientação é redobrar os cuidados com a instalação de software. As ações preventivas visam minimizar a chance de um aplicativo já instalado ou de um novo software explorar a brecha no VPU:

  • Evitar APKs de Fontes Desconhecidas: É fundamental não baixar e instalar arquivos APK de sites não oficiais ou fontes desconhecidas, pois estes são vetores comuns para a distribuição de malware capaz de explorar a vulnerabilidade.
  • Preferência Exclusiva pela Play Store: Os usuários devem se limitar a baixar aplicativos apenas através da loja oficial do Google, a Play Store, que possui processos de verificação de segurança mais rigorosos.
  • Monitoramento de Atualizações: Acompanhar o lançamento do patch de segurança de fevereiro de 2026 e instalá-lo imediatamente assim que disponível para o modelo específico.

A Xiaomi já está ciente da situação e a expectativa é que o patch comece a ser distribuído no início de março, logo após o término do feriado prolongado.

Contexto de Segurança na Xiaomi

Este incidente se soma a um histórico recente de alertas de segurança que afetaram o ecossistema da Xiaomi. Em outras ocasiões, falhas graves foram descobertas em diversos aplicativos e componentes do sistema, tanto na MIUI quanto no HyperOS, afetando áreas como a Xiaomi Cloud, a Galeria e o Bluetooth.

Em relatórios anteriores, vulnerabilidades permitiam acesso a atividades arbitrárias, roubo de arquivos com privilégios de sistema e exposição de dados de conectividade.

A fabricante tem sido alvo de escrutínio por falhas que surgem em pacotes do AOSP (Android Open Source Project) que a empresa implementa, sugerindo possíveis falhas em testes de segurança antes da distribuição de atualizações.

Apesar desses desafios, a Xiaomi geralmente demonstra agilidade na incorporação de correções de segurança do Google, especialmente quando há vulnerabilidades de dia zero envolvidas, visando proteger o ecossistema HyperOS e os usuários de linhas recentes como a Xiaomi 14 e Redmi Note 14.

Recomendação Final

A situação atual exige vigilância máxima. A recomendação de não assistir a vídeos ou manusear arquivos de mídia suspeitos é uma camada extra de proteção até que a correção oficial chegue. A prioridade máxima para todos os usuários de Xiaomi, Redmi e POCO é manter o dispositivo com o sistema operacional o mais atualizado possível, instalando o patch de fevereiro assim que ele for liberado no início de março, garantindo a mitigação da falha CVE-2026-0106 e restaurando a segurança total do sistema.

Continue lendo...