Morten Lyhne Petersen
Google har släppt majpatchen för Android och åtgärdar ett kritiskt säkerhetshål som kunde utnyttjas utan en enda knapptryckning.
Sårbarheten, med beteckningen CVE-2026-0073, sitter i Android Debug Bridge-tjänsten (adbd) och kunde låta en angripare köra kod på telefonen utan att användaren behövde göra någonting. Felet påverkar Android 14, 15 och 16.
Enligt USA:s nationella sårbarhetsdatabas NVD handlar det om ett logikfel i autentiseringen för trådlös ADB som gör det möjligt att kringgå mekanismen som ska säkerställa att bara behöriga klienter får ansluta. Angriparen måste dock befinna sig på samma nätverk som offret för att kunna utnyttja hålet.
Logikfel i autentiseringen
Den tekniska kärnan ligger i funktionen `adbd_tls_verify_cert` i filen `auth.cpp`. Felet får telefonen att godkänna en ansluten klient som i själva verket inte är legitim.
ADB, eller Android Debug Bridge, är ett verktyg som utvecklare normalt använder för att kommunicera med en telefon eller surfplatta, exempelvis för felsökning eller terminalkommandon. När funktionen är aktiv kan en angripare som tar sig förbi autentiseringen i praktiken få shell-åtkomst till enheten på distans, det vill säga kunna köra kommandon som om personen satt med telefonen i handen.
NVD klassar sårbarheten med en CVSS-poäng på 8.8 av 10, där CVSS är det internationella standardsystemet för att gradera säkerhetsbrister. Google själv klassar hålet som kritiskt i sin egen bulletin.
Inga kända attacker i drift
Google har inga indikationer på att felet har utnyttjats i pågående attacker eller att offentliga exploits finns tillgängliga, rapporterar Security Affairs. Hårdvarutillverkare informerades minst en månad innan publiceringen, vilket gett dem tid att förbereda egna uppdateringar.
Den kritiska uppdateringen tillkännagavs av Google i samband med majbulletinen, och patchen ingår i säkerhetsnivån 2026-05-01.
Användare kan kontrollera om patchen är installerad genom att gå in i telefonens inställningar och titta efter ”säkerhetsuppdatering” eller ”Android-säkerhetsnivå”. Står där maj 2026 eller senare är hålet täppt.
Vad användare bör göra
Den enklaste åtgärden är att installera den senaste systemuppdateringen så snart tillverkaren släpper den. För Pixel-användare är patchen redan tillgänglig, medan Samsung, Xiaomi och andra tillverkare brukar rulla ut sina egna versioner under maj och juni.
För Android 10 och senare kan delar av systemet också uppdateras separat via Google Play, vilket kan korta tidsfönstret innan en sårbarhet täpps på den enskilda telefonen.
Trådlös ADB är normalt avstängd och kräver att användaren aktivt slår på funktionen i utvecklarinställningarna. Sårbarheten utgör därmed främst en risk för den som har funktionen aktiverad och samtidigt befinner sig på ett delat nätverk.
