Google выпустила майский набор патчей для Android и предупредила о критической уязвимости CVE-2026-0073 в системном компоненте ОС. Проблема опасна тем, что для атаки не нужны ни дополнительные привилегии, ни действия пользователя: не надо переходить по ссылке, открывать файл или подтверждать запрос.
Уязвимость связана с компонентом adbd и может привести к удалённому выполнению кода с правами пользователя shell.
По данным Google, для успешной эксплуатации злоумышленник должен находиться в близкой или смежной сетевой зоне. Согласно описанию, проблема затрагивает механизм беспроводной отладки Android Debug Bridge. В норме ADB должен безопасно проверять подключаемое устройство через TLS-сертификаты.
Но из-за логической ошибки злоумышленник потенциально мог обойти взаимную аутентификацию и выдать своё устройство за доверенную рабочую станцию.
Под удар попали Android 14, Android 15, Android 16 и Android 16 QPR2. Патч входит в набор 2026-05-01 и новее, а сама уязвимость также закрывается через компонент Project Mainline для adbd.
Главный неприятный момент здесь — zero-click. Пользователь может вообще ничего не делать, а риск всё равно остаётся, если устройство уязвимо и находится в подходящих для атаки условиях.
Пользователям Android стоит проверить наличие обновлений и установить свежие патчи. Особенно это важно для тех, кто включает беспроводную отладку, использует Android-устройства для разработки или часто подключается к чужим сетям.
