В начале мая на устройствах Android была обнаружена уязвимость CVE-2026-0073, которая позволяет удаленно выполнять команды на мобильном устройстве без подтверждения со стороны пользователя.
Уязвимы устройства с Android 11 и выше, на которых включена функция отладки по Wi-Fi. Официально Android сообщает об ошибках в коде для Android 14-16, но уязвимая функция присутствует в исходниках Android 11, в котором появилась функция отладки по Wi-Fi.
Функция отладки по Wi-Fi является легитимной — она позволяет подключаться к мобильному устройству для установки, тестирования приложений и создания резервных копий (Рисунок 1). Для использования этой функции необходимо осуществить сопряжение с ПК и подтвердить доверенные связи. CVE-2026-0073 дает возможность пропустить этап подтверждения связей и сразу взаимодействовать с устройством.
Мы решили изучить, как далеко может зайти злоумышленник при эксплуатации данной CVE.
Схема заражения устройства
Пользователь с включенной отладкой по Wi-Fi подключается к незащищенной Wi-Fi-сети.
Злоумышленник, находясь в этой же сети, сканирует ее на наличие адресов с открытыми портами для отладки по ADB:
Рисунок 2. Проэксплуатировав CVE-2026-0073, злоумышленник получает доступ к командной строке мобильного устройства и может выполнять различные команды на устройстве (Рисунок 3):
получать доступ к спискам контактов, звонков, SMS-сообщений и установленных приложений;
удалять и устанавливать приложения без ведома пользователя;
повышать привилегии установленного приложения, выдав ему специальные разрешения на устройстве: специальные возможности (Accessibility Services) и доступ к уведомлениям (Notification Access).
Рисунок 3.
Получив необходимые данные, злоумышленник может удалить легитимное приложение на устройстве и заменить его на приложение с вредоносными функциями:
Рисунок 4. Происходит кража пользовательских данных и их отправка на серверы злоумышленников.
Почему так происходит?
Уязвимость находится в демоне Android Debug Bridge — adbd: в функции проверки TLS-сертификатов
adbd_tls_verify_certвauth.cpp.Атака затрагивает режим Wireless Debugging / ADB-over-TCP, где подключение между ПК и устройством строится через mutual TLS: Android проверяет клиентский сертификат подключающегося хоста.
В нормальном режиме adbd сравнивает публичный ключ сертификата клиента с ранее доверенным ключом, сохраненным после ADB pairing.
Ошибка возникает из-за неправильной обработки результата функции
EVP_PKEY_cmp: код считает любое ненулевое значение успешным совпадением ключа.Злоумышленник подменяет TLS-сертификат, используя ключ другого типа (например,
EC/Ed25519вместоRSA). В таком случаеEVP_PKEY_cmpвозвращает-1(«разные типы ключей»), но уязвимый код воспринимает это как успешную проверку.Происходит обход mutual TLS-аутентификации: adbd ошибочно считает атакующего доверенным ADB-хостом.
После обхода проверки атакующий получает удаленный доступ к ADB shell без взаимодействия с пользователем устройства.
Для успешной эксплуатации уязвимости необходимо, чтобы устройство хотя бы раз подключалось к какому-либо хосту и в списке доверенных устройств хранился хотя бы один публичный ключ.
Как защитить ваши устройства
Выключайте функцию отладки по Wi-Fi, когда она не используется. Ввиду особенности эксплуатации CVE-2026-0073 подвержены только устройства с включенной отладкой по Wi-Fi. Эта функция по умолчанию выключена, поэтому у обычных пользователей риск минимален.
Не включайте отладку по Wi-Fi в недоверенных сетях.
Устанавливайте обновления ОС на постоянной основе: патчи безопасности за май 2026 уже доступны на многих устройствах.
Настройте безопасность рабочей и личной Wi-Fi-сети: изолируйте клиентов и заблокируйте доступ по недоверенным портам.
Будьте внимательны к уведомлениям, которые приходят на ваше устройство. При подключении к отладке по Wi-Fi на экране устройства появляется уведомление о подключении стороннего устройства:
Внимание к деталям сделает ваши устройства безопаснее.
(Источник: https://t.me/ptescalator)
