Google xác nhận lỗ hổng bảo mật nghiêm trọng, cảnh báo người dùng Android cần làm ngay một việc
(DS&PL) -
Lỗ hổng nghiêm trọng CVE-2026-0073 trên Android cho phép tấn công từ xa không cần tương tác người dùng, nên Google khuyến cáo cập nhật ngay để tránh nguy cơ bị xâm nhập thiết bị.
Bản tin bảo mật Android tháng 5/2026 vừa được công bố đưa ra cảnh báo rõ ràng: người dùng các phiên bản Android 14, Android 15, Android 16 và Android 16-QPR2 cần cập nhật ngay.
Nguyên nhân là một lỗ hổng nghiêm trọng trong thành phần hệ thống có thể cho phép kẻ tấn công truy cập từ xa mà không cần bất kỳ tương tác nào từ phía người dùng.
Đây là dạng lỗ hổng “không cần nhấp chuột”, mức độ rủi ro đặc biệt cao. Dù vậy, để khai thác, kẻ tấn công phải cùng mạng cục bộ và ở gần thiết bị mục tiêu, phần nào hạn chế phạm vi tấn công.
Tuy nhiên, các chuyên gia vẫn khuyến cáo không nên chủ quan, bởi việc chậm cập nhật đồng nghĩa với việc vô tình trao cho kẻ xấu cơ hội vượt qua các lớp bảo mật hiện có.
Ảnh minh hoạ
Lỗ hổng này được theo dõi với mã CVE-2026-0073 trong hệ thống Common Vulnerabilities and Exposures. Google xác nhận đây là lỗi nằm trong thành phần cốt lõi của Android, có thể dẫn đến việc thực thi mã từ xa (trong phạm vi gần) với quyền người dùng mà không cần thêm bất kỳ đặc quyền nào, đồng thời không đòi hỏi sự tương tác của người dùng. Nói cách khác, thiết bị có thể bị kiểm soát mà chủ sở hữu không hề hay biết.
Hiện chưa ghi nhận trường hợp lỗ hổng “không cần nhấp chuột” này bị khai thác ngoài thực tế, song nguy cơ hoàn toàn có thể gia tăng khi các chi tiết kỹ thuật tiếp tục được công bố.
Theo thông tin từ CVE.org, nguyên nhân xuất phát từ lỗi logic trong hàm xác thực chứng chỉ của ADB không dây, dẫn đến khả năng bỏ qua cơ chế xác thực hai chiều.
Giao diện gỡ lỗi Android (ADB) vốn được thiết kế để đảm bảo an toàn cho quá trình phát triển, nhưng lỗ hổng này có thể bị lợi dụng để giả mạo nguồn tin cậy, từ đó mở đường cho việc truy cập trái phép và thực thi mã từ xa, thậm chí vượt qua cơ chế “sandbox” của ứng dụng.
Google cho biết các bản vá bảo mật phát hành từ ngày 1/5/2026 đã khắc phục toàn bộ vấn đề, đồng thời xếp đây vào nhóm lỗ hổng nghiêm trọng do những tác động tiềm tàng đối với thiết bị bị ảnh hưởng.
Dù đặc thù phân mảnh của hệ sinh thái Android có thể khiến một số thiết bị chưa nhận được bản cập nhật ngay lập tức, Google khẳng định đã thông báo trước cho các nhà sản xuất phần cứng trước khi công bố bản tin ngày 4/5. Vì vậy, người dùng được khuyến nghị chủ động kiểm tra và cập nhật phần mềm sớm nhất có thể để đảm bảo an toàn.
