Hack Alerta

Vulnerabilidade de 8 anos no Samsung KNOX expõe dispositivos Galaxy a ataques de kernel

Por Redação Hack Alerta Publicado em 23/06/2026 12:21 Vazamento de dados Tempo de leitura: 4 min

Uma vulnerabilidade crítica de uso após liberação (UAF) no subsistema de segurança proprietário da Samsung, KNOX, permaneceu oculta por mais de oito anos. A falha, descoberta pela LucidBit, afeta dispositivos Galaxy S9 a S25 e permite corrupção de memória em nível de kernel. A correção foi lançada em janeiro de 2026, mas muitos dispositivos podem ainda não estar atualizados.

Descoberta e escopo da falha

Uma vulnerabilidade crítica de tipo use-after-free (UAF) foi identificada no subsistema de segurança proprietário da Samsung, o KNOX, que permaneceu oculta por mais de oito anos. A falha, descoberta pela empresa de pesquisa de segurança LucidBit, afeta potencialmente centenas de milhões de dispositivos Galaxy, permitindo corrupção de memória em nível de kernel e controle total do dispositivo.

O defeito reside no componente PROCA (Process Authenticator), parte central do KNOX responsável por prevenir a execução não autorizada de processos. Especificamente, o bug atinge o FIVE (File-based Integrity Verification Engine), subsistema de rastreamento de integridade do lado do kernel construído sobre a arquitetura de medição de integridade do Linux.

Cada processo em um dispositivo Samsung carrega um objeto task_integrity que rastreia seu estado de confiança. A vulnerabilidade decorre de manipuladores procfs sob /proc/pid/integrity/ que buscam um ponteiro bruto para esse objeto sem manter adequadamente uma referência, uma falha perigosa em um kernel totalmente preemptivo.

Primitivas de exploração identificadas

Os pesquisadores da LucidBit identificaram três primitivas de exploração distintas a partir da condição UAF:

  • Primitiva 1 – Vazamento de Memória (Leitura DWORD): O manipulador proc_integrity_value_read()task_integrity->user_value no offset 0 de memória potencialmente liberada. Se o slot liberado for reutilizado antes que o manipulador retome, ele vaza qualquer dado que agora ocupa esse endereço, utilizável como oráculo de bypass de KASLR sem risco de crash.
  • Primitiva 2 – Chamada Arbitrária (CFI-Bloqueada): O manipulador proc_integrity_reset_file() eventualmente dispara uma chamada de ponteiro de função d_dname() através de um struct file liberado. Os pesquisadores desenvolveram uma técnica novel usando /system/bin/monkey — um binário de sistema de texto simples, não-ELF — para forçar reset_file a um refcount de 1, habilitando o UAF. No entanto, o KCFI (Kernel Control Flow Integrity) do Android bloqueou redirecionamento arbitrário, limitando alvos de chamada a funções compatíveis com tipo e tornando essa primitiva um beco sem saída.
  • Primitiva 3 – Escrita Restrita via Spinlock: O manipulador proc_integrity_label_read() adquire um spinlock_t no objeto liberado. Na memória reutilizada, as operações atômicas do spinlock em fila produzem uma escrita restrita no offset 0x0c, potencialmente sobrepondo ponteiros, refcounts ou campos de comprimento em um objeto reutilizado cross-cache.

Impacto e alcance

Os pesquisadores confirmaram que a vulnerabilidade afeta dispositivos Samsung Galaxy S9 até S25, incluindo dispositivos da série A (testado no A54), em ambas as variantes de chipset Exynos e Qualcomm. Todas as versões do Android testadas foram vulneráveis. O bug supostamente existe desde que o FIVE foi introduzido pela primeira vez no kernel da Samsung — aproximadamente em 2017 — tornando-se uma falha adormecida de oito anos escondida à vista em um subsistema crítico de segurança.

Medidas de mitigação recomendadas

A Samsung emitiu uma correção em sua atualização de segurança mensal de janeiro de 2026. Usuários de dispositivos Galaxy afetados devem verificar se o nível de patch de segurança está datado em 2026-01-01 ou posterior via Configurações → Sobre o telefone → Atualização de segurança do Android.

Todos os usuários de dispositivos Samsung Galaxy são fortemente aconselhados a verificar imediatamente se seu dispositivo aplicou o nível de patch de segurança de janeiro de 2026 ou posterior. A LucidBit observou que a vulnerabilidade passou despercebida por aproximadamente oito anos, sublinhando o risco persistente de caminhos de código de kernel modificados pelo fornecedor que introduzem semânticas complexas de tempo de vida de objeto não presentes no Linux upstream.

O que os CISOs devem fazer imediatamente

1. Verificar o inventário de dispositivos Samsung na organização. 2. Garantir que todos os dispositivos estejam com o patch de segurança de janeiro de 2026 ou posterior. 3. Monitorar logs de kernel em busca de anomalias relacionadas ao subsistema KNOX. 4. Revisar políticas de atualização de dispositivos móveis para garantir correções críticas são aplicadas rapidamente.

Baseado em publicação original de Cyber Security News
Tags: #=samsung #knox #android #vulnerabilidade #kernel #mobile #uaf #lucidbit #galaxy
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar