Google закрыла критическую 0-click уязвимость Android

Google выпустила майский набор патчей для Android и предупредила о критической уязвимости CVE-2026-0073 в системном компоненте ОС. Проблема опасна тем, что для атаки не нужны ни дополнительные привилегии, ни действия пользователя: не надо переходить по ссылке, открывать файл или подтверждать запрос.

Уязвимость связана с компонентом adbd и может привести к удалённому выполнению кода с правами пользователя shell.

По данным Google, для успешной эксплуатации злоумышленник должен находиться в близкой или смежной сетевой зоне. Согласно описанию, проблема затрагивает механизм беспроводной отладки Android Debug Bridge. В норме ADB должен безопасно проверять подключаемое устройство через TLS-сертификаты.

Но из-за логической ошибки злоумышленник потенциально мог обойти взаимную аутентификацию и выдать своё устройство за доверенную рабочую станцию.

Под удар попали Android 14, Android 15, Android 16 и Android 16 QPR2. Патч входит в набор 2026-05-01 и новее, а сама уязвимость также закрывается через компонент Project Mainline для adbd.

Главный неприятный момент здесь — zero-click. Пользователь может вообще ничего не делать, а риск всё равно остаётся, если устройство уязвимо и находится в подходящих для атаки условиях.

Пользователям Android стоит проверить наличие обновлений и установить свежие патчи. Особенно это важно для тех, кто включает беспроводную отладку, использует Android-устройства для разработки или часто подключается к чужим сетям.