Компания Google опубликовала майский бюллетень безопасности, в котором раскрыла информацию об одной критической уязвимости в операционной системе Android. Проблема получила идентификатор CVE-2026-0073 и затрагивает устройства начиная с версии Android 14 и заканчивая последней тестовой сборкой 16-qpr2. Речь идёт о баге, который позволяет удалённо выполнить произвольный код на атакованном девайсе. Причём для этого злоумышленнику не нужно заставлять жертву совершать какие-либо действия, а также не требуются какие-либо привилегии в системе после проникновения.
Уязвимость CVE-2026-0073
В центре проблемы находится компонент adbd - это сервис отладки Android Debug Bridge (ADB, мост отладки Android), который используется разработчиками для диагностики и тестирования приложений. Уязвимость кроется в функции adbd_tls_verify_cert файла auth.cpp. Там обнаружена логическая ошибка, из-за которой возможен обход взаимной аутентификации при подключении по беспроводному ADB (отладка по Wi-Fi). Иными словами, атакующий, находясь в пределах досягаемости беспроводной сети жертвы, может подключиться к устройству и выполнить на нём команды от имени пользователя shell - обладателя командной оболочки системы.
Уязвимость признана критической. В классификации Android она относится к типу RCE (Remote Code Execution - удалённое выполнение кода). Потенциальные последствия эксплуатации весьма серьёзны. Имея возможность выполнять команды в контексте системного пользователя shell, злоумышленник может прочитать личные данные, установить вредоносное приложение, получить доступ к камере и микрофону, перехватывать сообщения и даже полностью заблокировать устройство или изменить его настройки. При этом уровень привилегий shell хоть и не является максимальным (root), но даёт широкие возможности для манипуляций.
Важно понимать, что использование уязвимости не требует физического контакта с устройством. В бюллетене указан уточняющий термин "proximal/adjacent", что означает атаку из непосредственной близости в пределах одной сети. Чаще всего это локальная сеть офиса, кафе или общественного пространства, где злоумышленник может находиться в зоне действия Wi-Fi. Однако компания Google подчёркивает: необходимость в нахождении рядом не делает угрозу менее опасной, так как автоматизация атак позволяет сканировать сети в поисках уязвимых устройств.
С точки зрения технических деталей, проблема затрагивает сразу четыре ветки Android: версии 14, 15, 16 и тестовую сборку 16-qpr2. Причём она также включена в состав компонентов Project Mainline - подсистему adbd. Это означает, что патч может быть доставлен не только через полное обновление прошивки, но и через системное обновление Google Play. Последнее особенно важно для пользователей, чьи производители задерживают выход обновлений безопасности.
Уровень критичности соответствует максимальному. В Android принята следующая шкала: высокая, критическая, наивысшая. CVE-2026-0073 отнесена именно к критической категории. Это означает, что эксплуатация уязвимости может привести к компрометации конфиденциальности, целостности и доступности данных без какого-либо вмешательства пользователя. Кроме того, в официальном описании указано, что сервисные механизмы защиты, такие как платформенные ограничения Android и Google Play Protect, могут быть отключены в целях разработки, и злоумышленник способен обойти эти барьеры при успешной эксплуатации.
Что касается сроков реагирования, Google уведомила своих партнёров за месяц до публикации бюллетеня, то есть примерно в начале апреля. В течение 48 часов после публикации компания обещает выложить исходные коды исправлений в репозиторий Android Open Source Project (AOSP, открытый проект Android с доступом к исходному коду). Это стандартная практика, позволяющая производителям устройств и независимым разработчикам интегрировать патчи в свои сборки.
Кому стоит волноваться в первую очередь? Уязвимость угрожает всем устройствам с уровнем патча безопасности ниже 2026-05-01. Причём это касается как дорогих флагманов, так и бюджетных моделей, поскольку баг находится на уровне операционной системы, а не конкретного чипсета. Особенно рискуют пользователи, которые активно используют ADB-отладку в повседневной работе: разработчики, тестировщики, моддеры. Именно у них с высокой вероятностью включён режим отладки по Wi-Fi, что делает устройство прямой мишенью.
На практике эксплуатация может выглядеть как подключение к устройству через беспроводное соединение с последующим запуском произвольного кода. Вредоносная нагрузка (полезная нагрузка) может быть доставлена без установки каких-либо приложений - только через команды shell. Это серьёзно усложняет обнаружение атаки для большинства антивирусных решений, которые ориентированы на анализ устанавливаемых приложений.
Единственным надёжным способом защиты является установка обновления безопасности. Пользователям необходимо проверить уровень патча в настройках устройства. Если строка безопасности содержит дату 2026-05-01 или выше - устройство защищено. В противном случае следует установить доступное обновление. Особенно важно это сделать владельцам аппаратов на Android 14 и старше.
Производители уже начали распространять патчи. Как обычно, первыми получают обновления устройства Google Pixel, а затем - модели от Samsung, Xiaomi, OnePlus, Oppo, Vivo и других брендов. Задержки возможны, но в связи с критичностью уязвимости стоит ожидать ускоренных релизов от крупных вендоров.
Этот инцидент в очередной раз напоминает о важности своевременного обновления устройств. Даже одна незакрытая уязвимость может стать причиной серьёзной утечки данных или полного контроля над устройством. И хотя Google и партнёры делают всё возможное, чтобы минимизировать риски, конечная ответственность за безопасность лежит на пользователе.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-0073
- https://source.android.com/docs/security/bulletin/2026/2026-05-01
