Google vừa phát hành bản tin bảo mật Android tháng 5/2026, trong đó vá một lỗ hổng nghiêm trọng mang mã CVE-2026-0073. Lỗ hổng này cho phép kẻ tấn công kiểm soát một phần điện thoại Android từ xa qua Wi-Fi mà không cần nạn nhân thực hiện bất kỳ thao tác nào như nhấp vào đường link hay tải file. Tuy nhiên, lỗ hổng chỉ ảnh hưởng đến thiết bị đang bật tính năng Wireless Debugging dành cho lập trình viên.
Cơ chế hoạt động của lỗ hổng
Để hiểu rõ vấn đề, cần biết về tính năng ADB (Android Debug Bridge) - công cụ cho phép lập trình viên và kỹ sư kiểm thử kết nối máy tính với điện thoại Android, chạy lệnh từ xa, cài ứng dụng và kiểm tra lỗi phần mềm. Trên Android 11 trở lên, ADB có thể hoạt động qua Wi-Fi mà không cần cáp.
Lỗ hổng CVE-2026-0073 nằm ở khâu xác minh danh tính khi kết nối ADB không dây. Hệ thống kiểm tra máy tính có được phép kết nối hay không, nhưng lỗi khiến bước này bị thực hiện sai, cho phép máy tính lạ vượt qua hàng rào bảo mật. Kẻ tấn công có thể chạy lệnh với quyền tài khoản hệ thống "shell", đủ để đọc dữ liệu từ ứng dụng đang ở chế độ debug, chụp ảnh màn hình, xem thông tin hệ thống và có khả năng leo thang quyền cao hơn. Dù không phải quyền quản trị tối cao, mức truy cập này vượt ra ngoài vùng an toàn thông thường của Android.
Ai thực sự có nguy cơ?
Lỗ hổng chỉ hoạt động khi tính năng Wireless Debugging được bật. Tính năng này nằm trong Developer Options - mục ẩn theo mặc định, chỉ mở được bằng cách vào Cài đặt > Thông tin điện thoại và nhấn vào "Số hiệu bản dựng" bảy lần. Người dùng thông thường gần như không có tính năng này đang chạy. Nhóm cần cảnh giác là lập trình viên Android, kỹ sư kiểm thử (QA), và thiết bị doanh nghiệp có bật chế độ debug. Rủi ro tăng cao tại nơi có nhiều thiết bị chung mạng nội bộ như văn phòng, trường học, quán cà phê Wi-Fi.
Google xác nhận chưa ghi nhận cuộc tấn công thực tế nào khai thác lỗ hổng này, và chưa có mã khai thác công khai.
Thiết bị bị ảnh hưởng và bản vá
Lỗ hổng ảnh hưởng đến Android 14, 15, 16 và 16-QPR2. Android 13 trở xuống không trong danh sách vì Google đã kết thúc hỗ trợ bảo mật từ đầu năm 2026. Google Pixel đã nhận bản vá tháng 5/2026. Samsung xác nhận CVE-2026-0073 là một trong hai lỗ hổng nghiêm trọng nhất được vá trong bản cập nhật tháng 5 cho dòng Galaxy, triển khai dần. Các hãng khác như Xiaomi, OPPO, vivo chưa có timeline cụ thể, nhưng Google thông báo cho đối tác OEM trước một tháng, nên bản vá sẽ được đẩy ra dần.
Đáng chú ý, thành phần adbd liên quan thuộc Project Mainline, cho phép Google cập nhật qua Google Play System Update mà không cần chờ OEM. Người dùng Android 10 trở lên có thể nhận bản vá sớm hơn.
Kiểm tra và cập nhật
Để kiểm tra thiết bị đã được vá, vào Cài đặt > Thông tin điện thoại > Phiên bản Android hoặc Thông tin phần mềm, xem dòng "Mức vá bảo mật Android". Nếu hiển thị ngày 1 tháng 5 năm 2026 trở lên, thiết bị an toàn. Ngoài ra, kiểm tra Google Play System Update trong Cài đặt > Bảo mật > Google Play system update và cài ngay nếu có bản cập nhật.
Lập trình viên và kỹ sư thường xuyên dùng Wireless Debugging nên tắt tính năng khi không sử dụng, tránh để thiết bị ở chế độ debug khi kết nối mạng Wi-Fi công cộng hoặc dùng chung.
