Spoločnosť Google vydala mimoriadne varovanie, v ktorom naliehavo žiada používateľov systému Android, aby si okamžite aktualizovali svoje zariadenia. Dôvodom je objavenie kritickej bezpečnostnej chyby, ktorá by útočníkom mohla umožniť úplne ovládnuť smartfón bez toho, aby k tomu potrebovali akékoľvek povolenia alebo interakciu so samotným majiteľom. Táto zraniteľnosť, identifikovaná pod označením CVE-2026-0073, bola síce zaplátaná v najnovšej aktualizácii, no skutočná ochrana teraz závisí od toho, ako rýchlo jednotliví výrobcovia telefónov doručia túto opravu k svojim používateľom.
Prečo je chyba CVE-2026-0073 taká nebezpečná?
To, čo robí túto situáciu mimoriadne znepokojujúcou, je fakt, že zraniteľnosť získala hodnotenie „zero-click“. V praxi to znamená, že útočník nepotrebuje obeť oklamať žiadnym phishingom, podvodným odkazom ani metódami sociálneho inžinierstva. Chyba sa nachádza v samotnom jadre operačného systému, pod úrovňou bežných aplikácií a používateľských nastavení, čo znamená, že po jej zneužití môže byť zasiahnuté a sledované celé zariadenie.
Podľa bezpečnostného bulletinu Google sa táto hrozba týka najnovších verzií systému, konkrétne Androidu 14, 15 a 16. K zneužitiu môže dôjsť, ak sa útočník nachádza v tesnej blízkosti obete alebo na rovnakej sieťovej infraštruktúre. Útočníkovi stačí spustiť kód na diaľku s právami systémového používateľa (shell user), pričom na pozadí nedochádza k žiadnym viditeľným zmenám, ktoré by majiteľ telefónu mohol postrehnúť.
Zneužitie nástroja, ktorý nemal byť prístupný
Slabina bola odhalená v rozhraní Android Debug Bridge (ADB). Ide o zabudovanú funkciu, ktorú inžinieri a vývojári využívajú na komunikáciu medzi počítačom a mobilným zariadením. Problémom je, že tento nástroj nebol nikdy určený na to, aby bol prístupný alebo odhalený v bežnej prevádzke na živých zariadeniach spôsobom, akým k nemu teraz môžu pristúpiť hackeri.
Bezpečnostný expert Adam Boynton zo spoločnosti Jamf upozorňuje, že tento incident odzrkadľuje architektúru, ktorú roky využívajú profesionálni operátori spywaru. Ide o nebezpečný vzorec, kedy útočník získa prístup na úrovni celého systému bez potreby akejkoľvek akcie používateľa a bez toho, aby telefón vykazoval akékoľvek známky napadnutia.
Ako sa brániť a kedy príde záchrana?
Keďže útok nevyžaduje žiadnu interakciu, bežný používateľ sa mu nemá ako vyhnúť inak než dôsledným aktualizovaním softvéru. Google potvrdil, že opravu vydáva v rámci bezpečnostnej aktualizácie z 1. mája 2026.
Dôležité informácie o distribúcii opravy:
- Zariadenia Pixel od spoločnosti Google dostávajú aktualizáciu ako prvé v poradí.
- Ostatní výrobcovia, ako napríklad Samsung, budú opravu uvoľňovať postupne v rámci vlastných harmonogramov.
- Google uvoľní zdrojový kód opravy pre projekt AOSP do 48 hodín, čo umožní ostatným značkám integrovať záplatu do svojich systémov.
- Odporúča sa manuálne kontrolovať dostupnosť aktualizácií v nastaveniach telefónu a nečakať na automatické oznámenie systému.
Hoci Google v čase zverejnenia správy neregistroval žiadne aktívne zneužívanie chyby CVE-2026-0073, obavy sú na mieste. Len v marci totiž spoločnosť potvrdila inú chybu (CVE-2026-21385) týkajúcu sa grafiky Qualcomm, ktorá bola reálne zneužitá na prístup k citlivým dátam v pamäti telefónov. Jedinou skutočnou obranou tak zostáva udržiavanie zariadenia v aktuálnom stave a neustále sledovanie bezpečnostných hlásení od výrobcu.
