Vulnerabilidade Zero-Click no Android 16: Seu telefone pode ser hackeado apenas com um vídeo

 

Descubra como a vulnerabilidade CVE-2026-0006 no Android 16 permite ataques zero-click via MP4 e aprenda a proteger seus dispositivos com dicas práticas.

Em 2026, pesquisadores de segurança revelaram uma falha crítica no codec de vídeo APV (Advanced Professional Video) do Android 16. 

Batizada de CVE-2026-0006, essa vulnerabilidade permite que um invasor assuma o controle total do seu dispositivo sem que você precise clicar em nada — basta receber um arquivo MP4 malicioso.

O problema está no libopenapv, a biblioteca open-source da Samsung que processa vídeos no formato APV. 

Quando o Android gera miniaturas ou prévias de um vídeo — algo que acontece automaticamente — um MP4 adulterado pode enganar o sistema, fazendo com que ele aloque memória insuficiente e depois escreva dados além do limite. 

O resultado ? Um heap buffer overflow que permite execução remota de código (RCE) com gravidade máxima (CVSS 9.8).

Quem está vulnerável ?

• Dispositivos com Android 16 e patch de segurança anterior a março de 2026

• Versões do libopenapv entre v0.1.11.1 e v0.1.13.0

• Modelos como o Samsung Galaxy S26 Ultra e outros com suporte ao codec APV

A boa notícia é que a falha já foi corrigida em março de 2026. A má notícia: milhões de dispositivos ainda não receberam o patch — e muitos usuários nem sabem que o risco existe.

O que você pode fazer agora

Verifique se há atualizações de segurança no seu Android. Vá em Configurações > Sistema > Atualizações do sistema e instale qualquer patch disponível.

Desconfie de arquivos MP4 recebidos por WhatsApp, e-mail ou mensagens, mesmo de contatos conhecidos (o ataque pode se propagar sem que o remetente saiba).

Eduque-se sobre segurança móvel. Entender como funcionam essas falhas é o primeiro passo para se proteger. Um excelente ponto de partida é o livro "Android Security Internals" — ele explica em profundidade a arquitetura de segurança do Android e como vulnerabilidades como essa surgem e são corrigidas. 

Com ele, você aprende a identificar riscos antes que eles virem manchete.

Android Security Internals -> https://link.amazon/B0fkpN0jD

Eu ganho uma comissão quando você faz uma compra. 

Conclusão

A CVE-2026-0006 é um lembrete incômodo: os maiores riscos de segurança muitas vezes vêm de componentes que você nem sabia que existiam. 

Codecs de vídeo, bibliotecas de imagem e formatos de mídia são alvos frequentes porque processam dados complexos e não confiáveis. 

A lição aqui é universal: mantenha seus dispositivos atualizados, desconfie de arquivos de fontes desconhecidas e invista em conhecimento — porque a melhor defesa contra um ataque zero-click é a prevenção.