Google Android - CVE-2026-0073

Date de publication :

Il s'agit d'une vulnérabilité dans le composant adbd (Android Debug Bridge daemon), plus précisément dans la fonction adbd_tls_verify_cert du fichier auth.cpp, présent dans le sous-système système d'Android.

Android est le système d'exploitation mobile de Google, basé sur le noyau Linux. Il est déployé sur des milliards de smartphones, tablettes et autres appareils connectés. Il intègre un ensemble de services système, d'API et d'environnements d'exécution applicatifs, distribués à la fois via les mises à jour OEM et le canal Google Play System Updates (Project Mainline).

Ce composant gère la communication entre un appareil Android et un hôte distant via le protocole ADB sans fil (Wireless ADB over TLS). La faille provient d'une erreur logique dans le processus de vérification du certificat TLS lors de l'authentification mutuelle : la vérification peut être contournée sans présenter de certificat valide. Un attaquant positionné sur le même réseau local ou à proximité physique de l'appareil peut établir une connexion ADB sans fil sans authentification. Aucune interaction de l'utilisateur n'est requise. L'exploitation est qualifiée de zero-click par les chercheurs.

Elle permet l'exécution de code arbitraire à distance en tant qu'utilisateur shell, sans privilège d'exécution supplémentaire.

CVE-2026-0073

[Score CVSS v3.1 : 8.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-303 : Incorrect Implementation of Authentication Algorithm

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau local
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Android version 14.0
•   Android version 15.0
•   Android version 16.0 (y compris les builds QPR2 bêta 1, 2 et 3)

Solutions ou recommandations

Android 14, 15 et 16 : correctif inclus dans le niveau de correctif de sécurité du 1er mai 2026 et supérieur, disponible via mise à jour OEM ou Google Play System Update (composant adbd, Project Mainline).

Liens