Без клика, без ссылки, полный контроль. Google срочно закрывает дыру в Android
В инструменте для разработчиков нашли уязвимость, которая позволяет войти в любой смартфон по сети — даже если вы ничего не нажимали.
Google призвала владельцев Android-смартфонов срочно установить майские обновления безопасности после обнаружения критической уязвимости, позволяющей удалённо получить доступ к устройству без действий со стороны пользователя. Для атаки не нужны вредоносные ссылки, приложения или фишинг.
Уязвимость получила идентификатор CVE-2026-0073 и затрагивает Android 14, 15 и 16, включая промежуточные сборки. Исправление вошло в пакет обновлений безопасности от 1 мая 2026 года, однако защита зависит от производителей смартфонов. Владельцам устройств рекомендуют вручную проверить наличие обновлений и установить их как можно быстрее.
Проблема связана со службой Android Debug Bridge, известной как ADB. Инструмент используют разработчики и сервисные инженеры для подключения к смартфону с компьютера и управления системой. В обычных условиях ADB отключён и не должен быть доступен извне, однако некоторые производители случайно оставляют службу активной после заводского тестирования. Подобные ошибки уже не раз приводили к массовым заражениям Android-устройств.
Специалисты британской некоммерческой организации BARGHEST обнаружили логическую ошибку в механизме аутентификации ADB. При подключении система должна сверять криптографические ключи устройства и пользователя. Выяснилось, что при несовпадении типов ключей, например RSA и Ed25519, Android сообщает об ошибке, но всё равно открывает удалённую командную оболочку.
Уязвимость работает только в случае, если ADB хотя бы один раз использовали на устройстве и система уже сохранила ключ. Атакующий может воспользоваться ошибкой как внутри локальной сети, так и через интернет, если порт ADB оказался доступен извне.
Google присвоила уязвимости статус critical и отметила, что для её эксплуатации не требуются дополнительные привилегии или участие владельца устройства. Злоумышленнику достаточно находиться рядом с целью или в одной сети. Компания отдельно подчеркнула, что проблема затрагивает один из базовых компонентов Android, а значит последствия могут коснуться всей системы, а не отдельных приложений.
Представитель компании Jamf Адам Бойнтон заявил, что интерфейс отладки никогда не должен был становиться полноценной поверхностью для атак. По его словам, архитектура уязвимости напоминает методы, которые операторы коммерческого шпионского ПО годами использовали для взлома смартфонов: системный доступ без действий пользователя и без заметных признаков атаки.
При этом ошибка не даёт полного контроля над устройством и не позволяет получить root-доступ. Злоумышленник получает права пользователя shell в контексте SELinux, однако специалисты считают такой уровень доступа крайне опасным, поскольку атакующий фактически проникает во внутренний интерфейс отладки Android.
Google сообщила, что пока не зафиксировала случаев использования CVE-2026-0073 в реальных атаках. Тем не менее компания напомнила, что в марте уже устраняла другую активно эксплуатируемую уязвимость Android, CVE-2026-21385, связанную с графическим компонентом Qualcomm.
Исходные исправления для Android Open Source Project Google пообещала опубликовать в течение 48 часов после выхода майского бюллетеня безопасности. Первыми обновления традиционно получат устройства Pixel, после чего исправления начнут выпускать Samsung и другие производители.