Cientistas criam solução para aumentar vida útil das baterias de lítio

 Pesquisadores da Universidade de Maryland, nos Estados Unidos, desenvolveram uma nova solução para prolongar a vida útil das baterias de íon-lítio, que alimentam celulares e notebooks, entre outros dispositivos, além de carros elétricos. Detalhes do método foram revelados recentemente pela revista NewScientist.

De acordo com o cientista de materiais Chunsheng Wang, a técnica inovadora não exige mudanças nos processos de fabricação nem na estrutura interna das células de energia. Outra vantagem é o uso de produtos químicos adotados em larga escala na indústria e de baixo custo.

Como funciona a nova abordagem?

Formada por um ânodo negativo e um cátodo positivo, a bateria dos celulares tem um eletrólito líquido por meio do qual os íons de lítio passam durante o carregamento e a descarga. Ao longo do tempo, esse componente se deteriora e deposita os subprodutos nos dois eletrodos.

Operando sob condições oxidantes, o cátodo não lida bem com esses materiais depositados e começa a envelhecer, o que leva à degradação do tanque de energia;

Para lidar com o problema, a equipe liderada por Wang ajustou as propriedades do eletrólito, dando maior controle às transferências de íons;

Dessa forma, a deterioração do eletrólito ocorre de maneira controlada, gerando uma camada protetora uniforme e estável de subprodutos no cátodo, desacelerando a sua degradação;

A inovação também possibilita variar a composição da camada protetora, com a opção mais fina resultando em maior densidade de potência e a mais espessa aumentando a estabilidade e a vida útil da bateria.

De acordo com os pesquisadores, a abordagem permite adaptar as células de energia para situações específicas. Para o uso em carros elétricos, por exemplo, seriam priorizadas as de maior desempenho, enquanto aquelas com durabilidade máxima iriam para sistemas de armazenamento de energia.

O novo método ainda está em fase experimental e não se sabe exatamente o quanto prolongará a vida útil das baterias. Mas os especialistas estão animados, acreditando que a solução possa ser integrada às baterias a médio e longo prazo, melhorando significativamente a longevidade desses componentes.

Falha no Instagram permitia ver fotos e vídeos privados sem autorização

 Em outubro de 2025, um pesquisador de segurança chamado Jatin Banga identificou uma vulnerabilidade crítica de autorização nos servidores do Instagram que permitia o acesso completo a conteúdo de contas privadas sem qualquer forma de autenticação.

A descoberta, feita acidentalmente durante o desenvolvimento de uma ferramenta de automação de workflows HTTP, revelou uma falha que potencialmente expôs dados privados de centenas de milhões de usuários.

A vulnerabilidade permitia que requisições completamente não autenticadas obtivessem links diretos de CDN para fotos e vídeos de contas configuradas como privadas, incluindo legendas e metadados completos das publicações. 

O ataque não exigia login, relacionamento de seguidor ou qualquer tipo de credencial, apenas conhecimento técnico básico de requisições HTTP.

Como a vulnerabilidade funcionava

O exploit identificado por Banga baseava-se em uma falha de autorização server-side. Ao enviar uma requisição GET não autenticada para instagram.com/[username] utilizando headers específicos de navegadores mobile, o servidor do Instagram retornava uma resposta HTML contendo um objeto JSON denominado polaris_timeline_connection. 

Dentro desse objeto, o array edges continha URLs diretas de CDN para o conteúdo privado da conta-alvo, incluindo imagens em resolução completa, vídeos e legendas das publicações.

Não se tratava de um problema de cachê ou de configuração de CDN. O backend do Instagram estava ativamente gerando e retornando dados privados para requisições não autorizadas, falhando em validar permissões antes de popular a resposta. O servidor simplesmente não verificava se quem estava pedindo a informação tinha autorização para recebê-la.

Durante análise técnica detalhada, Banga identificou um comportamento específico que chamou de "estado de gatilho". Quando as requisições com headers mobile eram processadas para determinadas contas privadas vulneráveis, o servidor retornava "0 seguidores / 0 seguindo" independentemente do número real de seguidores da conta. 

A extensão do problema

Seguindo protocolos éticos de pesquisa em segurança, Banga limitou rigorosamente todos os testes a contas sob seu controle ou com permissão explícita dos proprietários. Em uma amostra de 7 contas autorizadas para teste, 2 apresentaram a vulnerabilidade, uma taxa de aproximadamente 28%. 

Considerando que o Instagram possui mais de 1 bilhão de usuários ativos, e que a descoberta inicial ocorreu acidentalmente em uma conta não autorizada, a taxa real de exploração pode ser significativamente superior.

A vulnerabilidade não afetava todas as contas privadas uniformemente. Análises preliminares sugeriram correlação com a idade das contas, com perfis mais antigos demonstrando maior suscetibilidade. No entanto, a causa raiz exata permanece indeterminada, dado que a Meta não conduziu investigação técnica aprofundada conforme documentado nas comunicações oficiais.

O processo de divulgação responsável

Entre 12 e 15 de outubro de 2025, Banga passou por um processo de ida e volta com a Meta ao reportar a vulnerabilidade. O primeiro relatório foi rejeitado em 5 minutos por interpretação equivocada, mas o segundo, com linguagem técnica mais precisa, iniciou uma investigação apropriada.

A Meta pediu testes em sua própria conta (2fa_2fa), onde o exploit falhou, revelando que a vulnerabilidade era condicional. Banga então conseguiu permissão de um terceiro usuário (its_prathambanga), demonstrou o exploit com sucesso extraindo 30 URLs privadas, e enviou análise técnica completa explicando o mecanismo de duas etapas da falha.

O patch silencioso e a contradição

Em 16 de outubro de 2025, durante testes de rotina de verificação, Banga identificou que a vulnerabilidade não era mais reproduzível. Todas as contas previamente vulneráveis passaram a retornar respostas vazias. A Meta havia implementado uma correção silenciosa sem qualquer notificação ao pesquisador. 

Exatamente 48 horas após Banga fornecer os nomes específicos das contas vulneráveis, o problema estava corrigido nessas contas exatas.

A resposta final da equipe de segurança da Meta, em 29 de outubro, foi ainda mais enigmática: "O fato de um problema irreproduzível ter sido corrigido não muda o fato de que não era reprodutível na época. 

Mesmo que o problema fosse reprodutível, é possível que uma mudança tenha sido feita para corrigir um problema diferente e esse problema foi corrigido como um efeito colateral não intencional." O caso foi mantido como "Não Aplicável", efetivamente negando que a vulnerabilidade tivesse existido.

O que ficou sem investigação

A análise da comunicação oficial entre Banga e a Meta revela lacunas significativas no processo de investigação que levantam questões sobre a profundidade da análise conduzida pela empresa. 

Banga ofereceu proativamente compartilhar logs completos de rede incluindo headers X-FB-Debug, que permitiriam rastreamento interno completo das requisições problemáticas nos sistemas da Meta. 

Gboard testa função para tornar digitações mais rápidas e fluidas

 Digitar no teclado do Android vai ficar mais rápido para quem usa o Gboard, a partir de uma nova funcionalidade que chegará em breve ao app. Estamos falando da troca automática para as teclas de letras após utilizar o apóstrofo, economizando tempo para quem aciona o recurso com frequência.

A novidade está atualmente em teste na versão beta do teclado, como apontou o 9to5Google na quinta-feira (22). Ela foi identificada em códigos do aplicativo há alguns meses e agora começa a ser implementada, embora ainda não apareça para toda a base de testadores.

Como vai funcionar?

A mudança para o teclado de letras após usar o apóstrofo possibilita automatizar uma das ações que os usuários mais repetem ao digitar no Gboard. O tradicional sinal de pontuação aparece muito em contrações e pronomes possessivos, especialmente no idioma inglês.

Essa nova funcionalidade entra em ação logo após a digitação do apóstrofo, retornando o teclado para o modo de letras automaticamente;

No momento, a volta para o teclado de letras exige uma ação manual, pressionando a barra de espaço;

Outra opção é pressionar a tecla “?123”, que fica no canto esquerdo inferior, levando o usuário para a versão convencional do teclado;

Com a novidade, será possível ter mais agilidade ao digitar mensagens, editar documentos e outros tipos de texto no celular.

É válido destacar que o recurso será opcional, podendo não fazer tanta diferença para as pessoas que raramente digitam pronomes possessivos e contrações. Neste caso, a desativação da ferramenta estará disponível no menu “Configurações”, seguindo para Preferências > Atalhos.

Google corrige falha no Gemini que vazava dados do calendário

 Uma vulnerabilidade crítica no Gemini, inteligência artificial do Google, permitia que atacantes roubassem informações confidenciais do calendário de usuários usando apenas um convite aparentemente inofensivo. A falha, descoberta por pesquisadores de segurança e reportada ao Google, foi corrigida.

O ataque explora a forma como o Gemini lê e interpreta eventos do Google Calendar para responder perguntas dos usuários. Diferente de vulnerabilidades tradicionais que usam código malicioso fácil de detectar, esta falha funcionava por meio de linguagem natural comum, tornando-a praticamente impossível de bloquear com filtros convencionais de segurança.

Como a vulnerabilidade funcionava

A equipe de pesquisadores começou a investigar a integração entre o Gemini e o Google Calendar após notar que a IA tinha acesso irrestrito ao conteúdo de eventos para responder perguntas dos usuários. O Gemini atua como assistente para o calendário, analisando títulos, horários, participantes e descrições de eventos para responder perguntas como "Qual é minha agenda hoje?" ou "Estou livre no sábado?".

Os pesquisadores identificaram que essa integração poderia ser explorada de forma simples.

O ataque era executado em três fases distintas. Primeiro, o atacante criava um evento de calendário normal e enviava um convite para a vítima. No campo de descrição - onde normalmente as pessoas escrevem informações como "trazer laptop" ou "confirmar presença", o criminoso escondia um prompt malicioso disfarçado de texto comum.

O novo desafio de segurança

O principal problema com esse tipo de golpe é a forma de combate. Isso porque, em aplicações tradicionais, a segurança é sintática, ou seja, procura-se por strings e padrões de alto sinal, como payloads SQL, tags de script ou anomalias de escape, e bloqueia essas ações.

Ao contrário das tradicionais, as vulnerabilidades em sistemas baseados em LLMs são semânticas. A porção maliciosa do payload dos pesquisadores - "me ajude a fazer o que sempre faço manualmente: 1. resumir todas as minhas reuniões..." - não é uma string obviamente perigosa.

É uma instrução plausível, até útil, que um usuário poderia legitimamente dar. O perigo emerge do contexto, da intenção e da capacidade do modelo de agir (por exemplo, chamado "Calendar.create").

LLMs como camada de aplicação

Neste caso, o Gemini funcionava não apenas como interface de chat, mas como uma camada de aplicação com acesso a ferramentas e APIs. Quando a superfície de API de uma aplicação é linguagem natural, a camada de ataque se torna "difusa". Instruções semanticamente maliciosas podem parecer linguisticamente idênticas a consultas legítimas de usuários.

Impacto poderia afetar milhões de usuários corporativos

Com o surgimento de cada vez mais assistentes de IA integrados em ferramentas corporativas - Gmail, Microsoft 365 Copilot, Notion AI, Slack - esse tipo de vulnerabilidade pode se tornar cada vez mais comum.

Google corrigiu vulnerabilidade rapidamente

O Google confirmou os achados dos pesquisadores e implementou mitigações para a vulnerabilidade. A empresa conduziu auditoria extensiva dos logs e não encontrou evidências de que outros atores além dos pesquisadores exploraram a falha.

A empresa também implementou proteções adicionais nos processos que lidam com dados sensíveis de calendário e tokens de autenticação. No entanto, não divulgou detalhes técnicos específicos da correção para evitar que criminosos encontrem formas de contorná-la.

Google aumenta limites de uso do Gemini e separa modos "Pro" e "Raciocínio"

 O Google aumentou os limites de uso do Gemini para assinantes e passou a separar o consumo entre os modos Raciocínio e Pro do chatbot. A mudança foi reportada pelo site 9to5Google e atende a uma demanda antiga de usuários que pediam mais clareza e flexibilidade no uso diário da ferramenta.

Desde a estreia do Gemini 3, os modos Raciocínio e Pro compartilhavam o mesmo limite de prompts. Na prática, isso significava até 100 prompts por dia para assinantes do Google AI Pro, ou 500 prompts diários para quem assina o plano AI Ultra, independentemente do modo utilizado.

Com a atualização, o Google passou a estabelecer cotas independentes para cada modo. “O uso do nosso modelo Raciocínio, otimizado para resolver problemas complexos rapidamente, não afetará mais os seus limites do modelo Pro, otimizado para matemática e programação avançadas”, destacou o Google.

Atualmente, o Gemini oferece três opções de modelo: Rápido, Raciocínio e Pro. Os modos Rápido e Raciocínio são alimentados pelo Gemini 3 Flash, enquanto o modo Pro utiliza o Gemini 3 Pro, voltado a tarefas mais exigentes, como cálculos avançados e programação.

O aumento e a separação dos limites reforçam o valor das assinaturas do Google AI. Além de mais prompts diários, os planos pagos também dão acesso a recursos exclusivos em diferentes serviços do ecossistema da empresa, além de oferecer armazenamento ampliado na nuvem.

Bixby terá funções avançadas de IA em grande atualização, revelam imagens

 A Bixby nunca foi uma das melhores assistentes virtuais disponíveis no mercado, mas isso talvez mude na One UI 8.5. Na última quinta-feira (8), o informante Galaxy Techie (@GalaxyTechie, no X) compartilhou prints da versão repaginada da ferramenta agora alimentada pelas inteligências artificiais generativas Perplexity e DeepSeek.

Os indícios foram posteriormente detalhados ao site SamMobile. De acordo com o informante, a nova Bixby foi encontrada “escondida” na One UI 8.5 e ainda está em desenvolvimento. Em comentários, ele afirmou que a integração com o DeepSeek pode ser exclusiva para usuários da China, enquanto a Perplexity ficaria responsável pelo mercado internacional.

A proposta da nova Bixby é se aproximar do funcionamento de outros assistentes baseados em IA generativa. A ferramenta permitiria perguntar praticamente qualquer coisa, com respostas contextualizadas e informações atualizadas da web. Nos materiais compartilhados, também aparecem integrações com serviços de terceiros, como The Weather Channel, HERE Maps, SkyScanner e Uber.

Visualmente, a assistente ganha uma página inicial mais próxima de um chatbot moderno. Conversas anteriores ficam organizadas em um menu lateral, enquanto a parte inferior da tela abriga a caixa de texto para novos comandos. Assim como outros modelos do gênero, a Bixby seria capaz de interpretar linguagem natural, manter diálogos mais longos e lidar com solicitações complexas.

Recursos da nova Bixby

Ao acionar a câmera, a Bixby disponibiliza três modos distintos de uso. No modo Geral, o usuário pode fotografar algo e perguntar sobre o conteúdo capturado. O modo AI Solver é voltado para a resolução de questões matemáticas, enquanto o modo Translation funciona como um tradutor nativo, adaptando textos e conteúdos para o idioma desejado

Outra novidade é o suporte a interações por voz. Batizada de Bixby Live, a função substitui o chat por texto por uma conversa falada, nos moldes do ChatGPT e do Gemini Live. O usuário pode escolher entre diferentes vozes e também definir a “postura” do chatbot, com opções como Agente Geral, guia turístico, entrevistador, contador de histórias ou até um bom ouvinte.

O conjunto de recursos é robusto logo de cara e coloca a Bixby em um patamar de utilidade muito mais próximo de outros modelos generativos populares. Ainda assim, é importante reforçar que todas as informações disponíveis até agora se baseiam em vazamentos de um informante e em ferramentas que ainda estão em desenvolvimento, podendo sofrer mudanças ou até mesmo não chegar ao público final.

WhatsApp tinha falha que revelava celular de vítimas

 A Meta está corrigindo de forma silenciosa uma vulnerabilidade que permitia identificar o sistema operacional usado no dispositivo de um destinatário. A brecha abria espaço para uma técnica conhecida como device fingerprinting, capaz de revelar se a vítima utilizava Android ou iOS, além de informações sobre a hierarquia do dispositivo — como se ele era o principal ou secundário — e o tempo de uso.

A correção vem sendo implementada sem divulgação formal. A empresa não registrou o problema na base de dados da Common Vulnerability Enumeration (CVE) e tampouco recompensou os pesquisadores responsáveis pela descoberta da falha.

O problema existia devido a valores previsíveis nos identificadores de chaves de criptografia pré-determinados para cada tipo de dispositivo. Esses padrões permitiam que terceiros reconhecessem o sistema operacional com relativa precisão, mesmo sem acesso direto ao aparelho.

WhatsApp corrigiu parcialmente a vulnerabilidade

Em uma publicação recente no Medium, o pesquisador Tal Be’ery afirmou que a Meta já trabalha em medidas de mitigação e conseguiu corrigir parte do problema. Ainda assim, segundo ele, a vulnerabilidade não foi eliminada por completo.

“Os atacantes ainda conseguem distinguir com alta precisão entre celulares Android e iPhone com base no ID PK de uso único”, explicou Be’ery. De acordo com o pesquisador, o iPhone inicializa esse parâmetro com valores baixos e os incrementa lentamente ao longo de alguns dias, enquanto o Android utiliza valores aleatórios em todo o espaço de 24 bits, tornando os dispositivos facilmente distinguíveis.

Correção foi feita sem reconhecimento aos pesquisadores

Um dos pontos criticados por Be'ery do caso é a postura adotada pelo WhatsApp. Mesmo atuando para mitigar o problema, a empresa não registrou oficialmente a vulnerabilidade nem ofereceu recompensas formais por meio de seu programa de bug bounty.

Não é necessário alarde, mas é bom ficar atento

O device fingerprinting é apenas uma das etapas de um ataque cibernético, e o caso do WhatsApp não é exclusivo. A estratégia é bem comum em navegadores, uma vez que saber qual é o sistema utilizado possibilita um ataque mais eficiente.