O Google publicou o Boletim de Segurança Android de maio de 2026, alertando o ecossistema sobre uma falha de execução remota de código (RCE) altamente severa. Rastreada como CVE-2026-0073, esta vulnerabilidade crítica reside profundamente no componente central do sistema Android.
Descoberta e escopo da vulnerabilidade
A raiz da CVE-2026-0073 está no subcomponente adbd, que é o daemon do Android Debug Bridge. Desenvolvedores utilizam tradicionalmente este serviço de sistema para se comunicar com um dispositivo, executar comandos de terminal e modificar o comportamento do sistema. A falha concede execução remota de código como usuário "shell", permitindo que atacantes contornem as sandboxes normais do aplicativo.
Vetor e exploração
Atoristas de ameaças podem lançar este ataque zero-click proximamente, o que significa que eles precisam apenas estar na mesma rede local ou em proximidade física para explorar um dispositivo móvel vulnerável. Não é necessário um único toque, download ou clique do proprietário do dispositivo. Isso torna a vulnerabilidade extremamente perigosa e atraente para atores de ameaças avançados.
Impacto e alcance
Como o serviço adbd é um componente Project Mainline distribuído via atualizações do sistema Google Play, a falha afeta múltiplas gerações recentes do sistema operacional. Dispositivos Android 14, Android 15, Android 16 e Android 16-QPR2 estão atualmente em risco. O impacto é amplo, cobrindo uma grande base instalada de dispositivos móveis corporativos e pessoais.
Medidas de mitigação recomendadas
O Google resolveu esta questão crítica no nível de patch de segurança de 1º de maio de 2026, conforme detalhado no Boletim de Segurança Android de maio de 2026. Todos os parceiros de hardware Android foram notificados com pelo menos um mês de antecedência para preparar atualizações de firmware over-the-air. Proprietários de dispositivos devem priorizar a instalação das atualizações de segurança mais recentes imediatamente.
O que os CISOs devem fazer imediatamente
Para confirmar que um dispositivo está protegido, os administradores devem navegar para as configurações do sistema e verificar se o nível de patch de segurança é 1º de maio de 2026 ou posterior. Usuários também devem verificar manualmente atualizações pendentes do sistema Google Play, pois alguns dispositivos executando Android 10 ou posterior podem receber patches de componente direcionados por este canal alternativo. A desativação do modo de desenvolvedor em dispositivos corporativos é uma medida de segurança adicional recomendada.