Lỗ hổng CVE-2026-0073 cực nguy hiểm trên Android

Lỗ hổng CVE CVE-2026-0073 là một remote code execution (RCE) nghiêm trọng trong thành phần Android System, có thể cho phép thực thi lệnh từ xa trên thiết bị Android mà không cần người dùng chạm, tải xuống hoặc nhấp vào bất kỳ nội dung nào. Đây là một cảnh báo CVE đáng chú ý trong tin tức bảo mật liên quan đến Android, vì cơ chế khai thác có thể diễn ra theo kiểu zero-click và chỉ yêu cầu kẻ tấn công ở cùng mạng cục bộ hoặc trong phạm vi vật lý gần thiết bị mục tiêu.

Lỗ hổng CVE-2026-0073 trong thành phần Android System

CVE-2026-0073 nằm sâu trong thành phần lõi của Android System, cụ thể ở adbd – Android Debug Bridge daemon. Đây là dịch vụ hệ thống được dùng để giao tiếp với thiết bị, chạy lệnh terminal và thay đổi hành vi hệ thống trong môi trường quản trị hợp lệ.

Khi bị khai thác, lỗ hổng CVE này cho phép kẻ tấn công có được remote shell access với quyền shell user. Điều này giúp vượt qua cơ chế sandbox của ứng dụng và tạo điều kiện cho xâm nhập trái phép mà không cần đặc quyền thực thi đặc biệt hay tương tác từ người dùng.

Thông tin chi tiết về bản vá được công bố trong Android Security Bulletin May 2026.

Cơ chế khai thác zero-click

Zero-click là điểm khiến lỗ hổng CVE này đặc biệt nguy hiểm. Kẻ tấn công không cần dụ người dùng mở tệp, cài ứng dụng hoặc truy cập liên kết độc hại. Chỉ cần ở cùng mạng hoặc đủ gần về mặt vật lý, chúng có thể kích hoạt remote code execution trên thiết bị dễ bị ảnh hưởng.

Trong ngữ cảnh mối đe dọa mạng, đây là dạng khai thác có độ rủi ro cao vì gần như không để lại dấu hiệu tương tác từ phía nạn nhân. Việc khai thác thành công có thể dẫn đến chiếm quyền điều khiển ở cấp lệnh hệ thống, tùy theo điều kiện môi trường và cấu hình thiết bị.

Ảnh hưởng hệ thống

Lỗ hổng CVE-2026-0073 ảnh hưởng đến nhiều thế hệ Android gần đây vì adbd là thành phần Project Mainline được phân phối qua Google Play system updates. Các phiên bản được nêu trong bản tin gồm:

• Android 14
• Android 15
• Android 16
• Android 16-QPR2

Do đặc điểm phân phối của thành phần này, cập nhật bản vá có thể đến qua nhiều kênh khác nhau, không chỉ qua firmware của nhà sản xuất thiết bị. Vì vậy, kiểm tra bản vá bảo mật và trạng thái hệ thống là bước bắt buộc trong quy trình an toàn thông tin.

Cập nhật bản vá cho lỗ hổng CVE-2026-0073

Google đã khắc phục lỗ hổng CVE này trong mức security patch level May 1, 2026. Thiết bị được xem là an toàn khi hiển thị mốc vá này hoặc mới hơn trong phần cài đặt hệ thống.

Google cũng thông báo cho các đối tác phần cứng trước ít nhất một tháng để chuẩn bị phát hành cập nhật OTA. Đồng thời, bản vá mã nguồn tương ứng đang được đưa vào Android Open Source Project (AOSP) để duy trì tính ổn định của nền tảng.

Với các thiết bị chạy Android 10 trở lên, người dùng cần kiểm tra thêm Google Play system updates vì một số bản vá thành phần có thể được phân phối qua kênh này thay vì chỉ qua cập nhật hệ điều hành đầy đủ.

Cách kiểm tra trạng thái bảo vệ

Để xác nhận thiết bị đã được bảo vệ khỏi lỗ hổng CVE này, kiểm tra trực tiếp trong phần cài đặt hệ thống:

Settings > About phone > Android security update

Yêu cầu tối thiểu là May 1, 2026 hoặc muộn hơn. Nếu thiết bị chưa đạt mốc này, cần tiến hành update vá lỗi ngay khi có bản phát hành phù hợp.

Tại sao adbd trở thành điểm rủi ro bảo mật

adbd là một dịch vụ đặc quyền phục vụ quản trị thiết bị. Khi có lỗ hổng CVE trong thành phần này, phạm vi ảnh hưởng thường rộng hơn các lỗi ở lớp ứng dụng vì nó tác động trực tiếp đến cơ chế debug và điều khiển hệ thống.

Trong thực tế, rủi ro bảo mật của CVE-2026-0073 đến từ ba yếu tố: khả năng khai thác từ xa, không cần tương tác người dùng, và có thể vượt qua sandbox ứng dụng để đạt remote code execution. Đây là tổ hợp đặc tính thường xuất hiện trong các cảnh báo CVE có mức độ nghiêm trọng cao.

Điểm chính cần theo dõi

• CVE: CVE-2026-0073
• Loại lỗi: Remote Code Execution (RCE)
• Thành phần bị ảnh hưởng: adbd trong Android System
• Kiểu khai thác: Zero-click, truy cập gần hoặc cùng mạng
• Quyền sau khai thác: Shell user
• Thiết bị bị ảnh hưởng: Android 14, 15, 16, 16-QPR2
• Bản vá: Security patch level May 1, 2026

Hành động cần thực hiện ngay

Trong bối cảnh tin bảo mật mới nhất, ưu tiên cao nhất là đảm bảo mọi thiết bị Android liên quan đã nhận cập nhật bản vá tương ứng. Với môi trường doanh nghiệp, cần kiểm tra đồng thời mức vá hệ điều hành và trạng thái Google Play system updates để giảm nguy cơ bảo mật từ lỗ hổng CVE này.

Nếu thiết bị chưa đạt mốc vá May 1, 2026, cần coi đó là trạng thái chưa an toàn và hạn chế kết nối với các mạng không tin cậy cho đến khi hoàn tất bản vá bảo mật.