Haavoittuvuus on saanut tunnisteen CVE-2026-0073, ja Google luokittelee sen kriittiseksi etäkoodin suoritukseen johtavaksi RCE-virheeksi (Remote Code Execution). Ongelma koskee Androidin järjestelmäkomponenttia ja erityisesti langatonta ADB-debug-rajapintaa (Android Debug Bridge).
Google kuvaa bulletinissaan haavoittuvuuden mahdollistavan “remote (proximal/adjacent) code execution as the shell user”. Käytännössä tämä tarkoittaa, että hyökkääjä voi päästä suorittamaan komentorivitason koodia ilman lisäoikeuksia ja ilman, että käyttäjä klikkaa mitään tai hyväksyy yhteyttä.
Ongelma löytyy komponentista adbd, joka hallitsee Android-laitteen debug-yhteyksiä. CVE-tietokannan mukaan virhe liittyy TLS-varmenteiden tarkistukseen (adbd_tls_verify_cert) ja mahdollistaa luotetun laitteen esiintymisen aidon laitteen nimissä.
Vaikka hyökkäys edellyttää hyökkääjän olevan samassa verkossa tai fyysisesti lähellä kohdetta, riski ei ole pieni. Käytännössä hyökkäysympäristöjä voivat olla esimerkiksi hotellit, lentokentät, julkiset Wi-Fi-verkot, konferenssit tai yritysverkot.
Google korostaa, ettei käyttäjän toimia tarvita hyökkäyksen onnistumiseen. Tämän vuoksi kyseessä on aidosti zero-click-haavoittuvuus, joita pidetään mobiilimaailman vaarallisimpina tietoturvaongelmina.
Paikkaus sisältyy Androidin 2026-05-01-tietoturvatasoon. Haavoittuvuus koskee Android 14-, 15-, 16- ja 16-QPR2-versioita. Google kertoo ilmoittaneensa ongelmasta valmistajille jo kuukautta ennen bulletin julkaisemista, joten päivitysten pitäisi olla tulossa nopeasti eri laitteille.
