Morten Lyhne Petersen
En kritisk sårbarhet i Android låter angripare köra kod på mobilen utan ett enda klick.
Felet finns i Android Debug Bridge-daemonen, en systemkomponent som hanterar utvecklarkommandon, och påverkar Android 14, 15, 16 och 16-QPR2. Google annonserade rättningen den 5 maj i månadens säkerhetsuppdatering med patchnivå 2026-05-01, men miljontals svenska användare väntar fortfarande på att den ska nå deras telefon.
Sårbarheten har beteckningen CVE-2026-0073 och klassas som kritisk. Den kräver varken klick, nedladdning eller någon annan användarinteraktion för att utnyttjas, skriver SecurityWeek.
Närhetsattack utan användarinteraktion
Felet sitter i adbd, bakgrundsprocessen bakom Android Debug Bridge som utvecklare normalt använder för att skicka kommandon till en telefon via USB eller wifi. Googles säkerhetsbulletin beskriver konsekvensen som ”fjärrkörning av kod som shell-användare utan att några ytterligare körningsprivilegier behövs” och bekräftar att användarinteraktion inte krävs.
Attacken är vad Google kallar proximal eller adjacent. Det innebär att en angripare måste befinna sig på samma lokala nätverk som telefonen eller inom fysisk närhet av den, enligt en sammanställning hos eSecurity Planet. Hur den tekniska bristen i adbd ser ut framgår inte av Googles publika bulletin.
Shell-åtkomst är inte root, men ger betydande makt
Det är inte fråga om full kontroll över telefonen. Shell-användaren saknar root-privilegier och kan inte direkt skriva i skyddade systemmappar, men kan köra ett brett spektrum av kommandon, läsa systeminformation och kringgå appens sandlåda.
Cybersäkerhetsmediet Cybersecurity News beskriver angreppet som en huvudnyckel som fungerar trådlöst och låter en inkräktare tyst skicka kommandon till de interna systemen utan att någon märker det, skriver redaktionen. Det finns hittills inga tecken på att felet aktivt utnyttjas i skarpa attacker.
Så kontrollerar du säkerhetsnivån
Leta efter säkerhetsuppdateringsnivå 2026-05-01 eller senare. Den hittas under Inställningar, Om telefonen, och därefter Android-version på Google Pixel, Samsung Galaxy och OnePlus-modeller.
På Pixel rullas rättningen ut omgående, eftersom Google själv ansvarar för uppdateringen. Patchen distribueras dessutom via Google Play-systemet, vilket innebär att även äldre enheter kan få den utan att vänta på en full operativsystemsuppdatering.
För Samsung- och OnePlus-ägare ser tidslinjen annorlunda ut. Tillverkarna får normalt rättningarna 30 till 60 dagar i förväg för att hinna integrera dem med sina egna Android-anpassningar, och utrullningen sker stegvis med flaggskeppen först.
Tills uppdateringen är på plats är rådet att stänga av USB-felsökning i utvecklaralternativen om du inte aktivt använder funktionen, och att undvika öppna wifi-nätverk där okända enheter kan befinna sig på samma nät.
