Google закрыла критическую уязвимость CVE-2026-0073 в Android. Ошибка вошла в майский бюллетень безопасности и затрагивает компонент System, и связана со службой adbd — частью Android Debug Bridge, которая используется для отладки и выполнения команд на устройстве.
Уязвимость относится к классу zero-click remote code execution (RCE). Это означает, что атака не требует действий пользователя: не нужны переходы по ссылкам, установка приложений или выдача разрешений.
В случае успешной эксплуатации злоумышленник может получить доступ уровня shell — выполнять команды в системе с привилегиями, достаточными для управления устройством.
Проблема затрагивает устройства на Android 14, 15, 16 и Android 16 QPR2. Атака относится к категории proximal — для её проведения требуется нахождение рядом с устройством или доступ к той же локальной сети.
Ошибка связана с обработкой данных в системной службе. При передаче специально сформированного пакета возможна некорректная работа adbd, что открывает путь к выполнению кода. В таких компонентах уязвимости считаются критическими: они работают на системном уровне и затрагивают все приложения и процессы.
Google выпустила исправление в обновлении безопасности Android с уровнем 2026-05-01. Обновление распространяется через системные апдейты и механизм Google Play system update, который позволяет обновлять часть компонентов без полной прошивки устройства.
Скорость установки патча зависит от производителя смартфона. Это остаётся одной из ключевых проблем экосистемы Android: даже при наличии исправления устройства могут оставаться уязвимыми из-за задержек обновлений.
Zero-click уязвимости считаются одним из самых опасных классов атак. Они не оставляют пользователю возможности «не кликнуть» или избежать ошибки поведением. Такие техники регулярно используются в целевых атаках и шпионском ПО. Речь идёт не о сбое системы, а о возможности удалённого выполнения команд. Единственный надёжный способ защиты — установить обновление безопасности за май 2026 года или новее.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
