A falha permite que atacantes obtenham privilégios elevados próximos ao root em dispositivos com HyperOS 1 a HyperOS 3, mesmo com bootloader bloqueado, facilitando injeção de malware ou corrupção do sistema. Especialistas identificaram o problema no serviço miui.mqsas.IMQSNative, usado para relatórios de qualidade e diagnósticos, que aceita comandos maliciosos enviados por ADB a partir de um computador conectado. A exploração ocorre localmente, exigindo acesso físico ou conexão USB ao dispositivo, mas representa alto risco para usuários que ativam depuração USB.
A Xiaomi planeja corrigir o problema na atualização de segurança de março de 2026, que deve ser aplicada imediatamente quando disponível para todos os modelos afetados. Usuários devem adotar medidas preventivas enquanto aguardam o patch oficial.
Como ocorre a exploração da falha
O ataque inicia com o envio de comandos ADB específicos de um PC para o dispositivo. Esses comandos direcionam o serviço de diagnóstico a executar ações não autorizadas, aproveitando os privilégios elevados do componente. Como resultado, o atacante ganha controle equivalente ao root, permitindo alterações profundas no sistema.
Mesmo dispositivos com bootloader bloqueado ficam vulneráveis, ampliando o alcance do problema. A falha não exige interação avançada do usuário além da conexão USB e depuração ativada.
Medidas imediatas de proteção
Desativar a depuração USB representa a principal recomendação para bloquear o vetor de ataque. Acesse as configurações do dispositivo, vá para opções adicionais e desative o recurso nas opções do desenvolvedor. Revogue também autorizações prévias de depuração USB para maior segurança.
Se as opções do desenvolvedor não aparecerem, o recurso já está desativado, eliminando o risco imediato. Evite conexões USB com fontes desconhecidas ou execução de comandos ADB de procedência duvidosa.
Dispositivos mais expostos
A vulnerabilidade atinge uma ampla gama de modelos Xiaomi, Redmi e POCO rodando HyperOS 1 a 3. Entre os principais afetados estão Xiaomi 14 Ultra, Xiaomi 15 series, Redmi Note 13 Pro series e POCO F6 Pro.
Outros incluem tablets como Xiaomi Pad 6 e Redmi Pad Pro, além de linhas mais antigas como Xiaomi 12 series e Redmi Note 11. A lista completa supera 160 aparelhos, abrangendo desde lançamentos recentes até modelos intermediários.
Atualização de segurança esperada
A correção oficial chega com o patch de março de 2026, alinhado ao boletim de segurança do Android. A Xiaomi distribui atualizações OTA progressivamente para dispositivos elegíveis.
Usuários devem verificar regularmente as configurações de software para instalar a versão assim que liberada. A atualização resolve a exploração no serviço de diagnóstico e reforça proteções gerais do sistema.
Riscos associados ao malware
Exploração bem-sucedida permite instalação de malware persistente, roubo de dados pessoais ou controle remoto do dispositivo. Ataques podem comprometer informações bancárias, fotos e mensagens sem detecção imediata.
A falha destaca a importância de manter depuração USB desativada por padrão em uso diário. Medidas como essa reduzem significativamente exposição a ameaças semelhantes.
Recomendações gerais de segurança
Mantenha o sistema atualizado com patches mensais da Xiaomi. Ative verificação de apps desconhecidos e use antivírus confiável disponível na Play Store. Evite sideload de APKs de fontes não oficiais.
Monitore o comportamento do dispositivo por alterações incomuns, como consumo excessivo de bateria ou apps instalados sem permissão. Essas práticas complementam a proteção contra a vulnerabilidade atual.
Lista resumida de ações preventivas
- Desative depuração USB imediatamente nas opções do desenvolvedor.
- Revogue autorizações ADB existentes.
- Não conecte o dispositivo a PCs desconhecidos via USB.
- Instale a atualização de março de 2026 assim que disponível.
- Monitore atualizações OTA regularmente.
Essas etapas minimizam riscos enquanto a correção oficial não chega a todos os usuários.
