[{"data":1,"prerenderedAt":258},["ShallowReactive",2],{"pt-post-px4-vulnerabilidade-cve-2026-1579":3,"pt-related-px4-vulnerabilidade-cve-2026-1579":213},{"id":4,"title":5,"author":6,"body":7,"category":194,"date":195,"description":196,"draft":197,"extension":198,"image":199,"meta":200,"navigation":201,"path":202,"seo":203,"slug":204,"stem":205,"tags":206,"translation_slug":211,"updated":211,"__hash__":212},"pt_posts\u002Fpt\u002Fposts\u002Fpx4-vulnerabilidade-cve-2026-1579.md","Falha crítica no PX4 permite sequestro de drones em voo","Lucas Buzzo",{"type":8,"value":9,"toc":186},"minimark",[10,23,26,29,34,37,46,53,55,59,66,69,85,88,90,94,102,108,111,113,117,120,132,138,144,150,153,157,159],[11,12,13,14,18,19,22],"p",{},"A CYVIATION, empresa especializada em cibersegurança aeronáutica, divulgou em 7 de abril uma vulnerabilidade crítica no PX4 Autopilot — o software de controle de voo open-source mais usado no mundo. A falha, identificada como ",[15,16,17],"strong",{},"CVE-2026-1579"," e com nota ",[15,20,21],{},"CVSS 9.8"," em 10, permite que qualquer pessoa conectada à mesma rede Wi-Fi assuma o controle total de um drone durante o voo, sem autenticação.",[11,24,25],{},"A Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) emitiu um advisory oficial classificando a falha como ameaça de alto risco. Não há registros confirmados de exploração real até o momento, mas a severidade exige ação imediata de todos que operam drones com PX4.",[27,28],"hr",{},[30,31,33],"h2",{"id":32},"o-que-é-o-px4-autopilot","O que é o PX4 Autopilot",[11,35,36],{},"O PX4 é uma plataforma de controle de voo open-source desenvolvida sob o guarda-chuva da Dronecode Foundation, projeto vinculado à Linux Foundation. É a principal escolha de desenvolvedores, pesquisadores e empresas que precisam de personalização — ao contrário de firmwares proprietários, o PX4 é auditável, configurável e gratuito.",[11,38,39,40,45],{},"Para entender o papel da controladora de voo no funcionamento de um drone — o componente de hardware onde o PX4 é instalado —, veja nosso guia ",[41,42,44],"a",{"href":43},"\u002Fcomo-funciona-um-drone\u002F","Como funciona um drone",".",[11,47,48,49,52],{},"O protocolo de comunicação utilizado pelo PX4 é o ",[15,50,51],{},"MAVLink"," (Micro Air Vehicle Link), um padrão que troca mensagens entre o drone e a estação de controle em solo. É exatamente nesse protocolo que a CVE-2026-1579 reside.",[27,54],{},[30,56,58],{"id":57},"como-o-ataque-funciona","Como o ataque funciona",[11,60,61,62,65],{},"Por padrão, o PX4 Autopilot aceita comandos via interface MAVLink ",[15,63,64],{},"sem exigir nenhuma forma de autenticação",". Isso significa que qualquer dispositivo conectado à mesma rede que o drone pode enviar comandos como se fosse o controlador legítimo — sem senha, sem certificado, sem verificação de identidade.",[11,67,68],{},"Um atacante na mesma rede Wi-Fi do piloto pode:",[70,71,72,76,79,82],"ul",{},[73,74,75],"li",{},"Injetar comandos de navegação, alterando a rota ou provocando uma queda",[73,77,78],{},"Executar comandos arbitrários via acesso remoto ao shell do sistema",[73,80,81],{},"Desativar a função de retorno automático (Return to Home)",[73,83,84],{},"Assumir controle total do sistema embarcado",[11,86,87],{},"A CYVIATION descreveu a brecha como um drone que \"não possui senha digital nem assinatura para verificar a origem dos comandos que recebe\". Essa ausência de autenticação básica foi suficiente para uma pontuação de 9.8 no sistema CVSS — quase o máximo possível.",[27,89],{},[30,91,93],{"id":92},"quem-está-exposto","Quem está exposto",[11,95,96,97,101],{},"O PX4 é amplamente utilizado em drones FPV de longa distância (veja ",[41,98,100],{"href":99},"\u002Fo-que-e-fpv-drone\u002F","o que é FPV","), plataformas de inspeção industrial, drones de mapeamento e fotogrametria, sistemas de pesquisa acadêmica e projetos de entrega autônoma. Qualquer drone construído sobre uma controladora Pixhawk, Holybro Durandal ou hardware similar que rode PX4 está potencialmente exposto.",[11,103,104,107],{},[15,105,106],{},"Drones DJI não são afetados."," A DJI usa firmware proprietário com camadas de autenticação e criptografia próprias. A CVE-2026-1579 é específica ao PX4 Autopilot open-source. Se você opera um Mavic, Mini, Air, Avata ou qualquer modelo DJI com o aplicativo DJI Fly, este aviso não se aplica ao seu equipamento.",[11,109,110],{},"Drones com firmware proprietário de outras marcas — Autel, Skydio, Parrot — também não são afetados diretamente por esta CVE. O risco se concentra em drones customizados, de pesquisa e de desenvolvimento que rodam PX4 em hardware aberto.",[27,112],{},[30,114,116],{"id":115},"o-que-muda-para-o-piloto-brasileiro","O que muda para o piloto brasileiro",[11,118,119],{},"As mitigações recomendadas pela CYVIATION e pela CISA são de configuração — não exigem troca de hardware. Para quem usa PX4 no Brasil:",[11,121,122,125,126,45],{},[15,123,124],{},"1. Ativar o MAVLink 2.0 message signing."," Esse recurso garante que o drone só aceite comandos assinados por fontes autorizadas. A configuração é feita via QGroundControl. A documentação oficial do PX4 disponibiliza um guia de hardening em ",[41,127,131],{"href":128,"rel":129},"https:\u002F\u002Fdocs.px4.io\u002Fmain\u002Fen\u002Fmiddleware\u002Fmavlink.html",[130],"nofollow","docs.px4.io\u002Fmain\u002Fen\u002Fmiddleware\u002Fmavlink.html",[11,133,134,137],{},[15,135,136],{},"2. Isolar a rede de operação."," Nunca conecte o sistema de controle a redes Wi-Fi públicas ou compartilhadas. Prefira redes dedicadas e isoladas para as operações.",[11,139,140,143],{},[15,141,142],{},"3. Minimizar a exposição da interface MAVLink."," Configure firewalls no sistema embarcado e desative portas abertas desnecessárias.",[11,145,146,149],{},[15,147,148],{},"4. Manter o PX4 atualizado."," O projeto PX4, sob a Dronecode Foundation, foi notificado pela CYVIATION em 3 de abril. Acompanhe o repositório oficial para atualizações de segurança.",[11,151,152],{},"Não há confirmação de exploração ativa da falha no Brasil ou em outros países. A CYVIATION informou que continua investigando outras plataformas de controle de voo em busca de vulnerabilidades similares.",[154,155],"faq",{":items":156},"[{\"question\":\"Meu drone DJI é vulnerável ao CVE-2026-1579?\",\"answer\":\"Não. Drones DJI usam firmware proprietário com autenticação e criptografia próprias. A vulnerabilidade CVE-2026-1579 afeta exclusivamente drones que rodam o PX4 Autopilot open-source em controladoras como Pixhawk.\"},{\"question\":\"Como saber se meu drone usa PX4?\",\"answer\":\"Se o seu drone usa uma controladora Pixhawk, Holybro, mRo ou similar e foi configurado via QGroundControl ou MAVProxy, provavelmente roda PX4. Drones comerciais prontos para uso da DJI, Autel e Skydio usam firmware proprietário e não são afetados.\"},{\"question\":\"Já existe uma correção disponível?\",\"answer\":\"A CYVIATION notificou os desenvolvedores do PX4 em 3 de abril de 2026. Até a publicação desta notícia, a principal mitigação recomendada pela CISA é habilitar o MAVLink 2.0 message signing e isolar a rede de controle. Acompanhe o repositório oficial do PX4 no GitHub para patches de segurança.\"}]",[27,158],{},[11,160,161],{},[162,163,164,165,170,171,170,176,170,181],"em",{},"Fontes: ",[41,166,169],{"href":167,"rel":168},"https:\u002F\u002Fdronedj.com\u002F2026\u002F04\u002F07\u002Fpx4-autopilot-drone-software-cybersecurity\u002F",[130],"DroneDJ"," | ",[41,172,175],{"href":173,"rel":174},"https:\u002F\u002Fgbhackers.com\u002Fcritical-px4-autopilot-vulnerability\u002F",[130],"GBHackers",[41,177,180],{"href":178,"rel":179},"https:\u002F\u002Fsecurityonline.info\u002Fpx4-autopilot-mavlink-vulnerability-cve-2026-1579\u002F",[130],"Security Online (CVE-2026-1579)",[41,182,185],{"href":183,"rel":184},"https:\u002F\u002Fcyberpress.org\u002Fcritical-px4-autopilot-flaw-lets-hackers-take-control-of-drones\u002F",[130],"CISA Advisory",{"title":187,"searchDepth":188,"depth":188,"links":189},"",2,[190,191,192,193],{"id":32,"depth":188,"text":33},{"id":57,"depth":188,"text":58},{"id":92,"depth":188,"text":93},{"id":115,"depth":188,"text":116},"noticias","2026-04-08","Falha no PX4 Autopilot (CVE-2026-1579, CVSS 9.8) permite que qualquer atacante na mesma rede sequestre um drone. Entenda o risco e veja como se proteger.",false,"md","\u002Fimages\u002Fpx4-vulnerabilidade-cve-2026-1579.jpg",{},true,"\u002Fpt\u002Fposts\u002Fpx4-vulnerabilidade-cve-2026-1579",{"title":5,"description":196},"px4-vulnerabilidade-cve-2026-1579","pt\u002Fposts\u002Fpx4-vulnerabilidade-cve-2026-1579",[207,208,209,210,51],"segurança","PX4","vulnerabilidade","cibersegurança",null,"yAYGe9bfiAU4gegtDn9EJhQGr0zdQZCE8mK5tWhfq-g",[214,225,235,247],{"title":215,"description":216,"date":217,"category":194,"image":218,"slug":219,"tags":220,"author":6},"DJI revela 25 lançamentos bloqueados pela FCC em 2026","DJI revelou em processo judicial que 25 produtos de 2026 estão barrados nos EUA, com prejuízo de US$ 1,56 bilhão. Entenda o que muda para pilotos brasileiros.","2026-04-24","\u002Fimages\u002Fdji-fcc-25-lancamentos-2026.jpg","dji-fcc-25-lancamentos-2026",[221,222,223,224],"dji","fcc","regulamentação","mercado de drones",{"title":226,"description":227,"date":228,"category":194,"image":229,"slug":230,"tags":231,"author":6},"Exército adota DJI Matrice 300 RTK como drone padrão","O Exército Brasileiro oficializou o DJI Matrice 300 RTK como drone padrão da Força Terrestre, via portaria, enquanto EUA e aliados baniam a mesma tecnologia.","2026-04-23","\u002Fimages\u002Fexercito-brasileiro-drone-dji-matrice.jpg","exercito-brasileiro-drone-dji-matrice",[221,232,233,234],"exercito-brasileiro","drone-militar","seguranca-nacional",{"title":236,"description":237,"date":238,"category":194,"image":239,"slug":240,"tags":241,"author":6},"ICA 100-40: DECEA exige autorização para todos os drones","O DECEA publicou a nova ICA 100-40, que obriga autorização via SARPAS para todos os drones no Brasil a partir de 1º de julho de 2026. Entenda o que muda.","2026-04-19","\u002Fimages\u002Fdecea-ica-100-40-drones-2026.jpg","decea-ica-100-40-drones-2026",[242,243,244,245,246],"regulamentacao","decea","ica-100-40","sarpas","espaco-aereo",{"title":248,"description":249,"date":238,"category":194,"image":250,"slug":251,"tags":252,"author":6},"XMobots apresenta drone de combate reutilizável na LAAD","A XMobots apresentou na LAAD 2026 o Nauru 100D UCAV, drone de combate que retorna à base após o ataque e pode ser rearmado, testado pelos Fuzileiros Navais.","\u002Fimages\u002Fxmobots-nauru-100d-ucav-laad-2026.jpg","xmobots-nauru-100d-ucav-laad-2026",[253,254,255,256,257],"drone militar","defesa","XMobots","Brasil","Embraer",1777039024627]