CVE-2026-0073 Android adb零点击远程代码执行漏洞 - 💉 漏洞库极核论坛 - 知识星球 - 极核GetShell

CVE-2026-0073 Android adb零点击远程代码执行漏洞

zhenhua徽章-星月夜 - 极核GetShell等级-LV6 - 极核GetShell7天前发布
450

0x01 漏洞基本信息

CVE-2026-0073是Android系统组件中的一个严重认证绕过漏洞,其核心信息如下:

漏洞类型:身份验证绕过(Authentication Bypass / Logic Error)

受影响组件:Android System — adbd(Android调试桥守护进程,属于Project Mainline模块)

攻击向量:相邻网络(Adjacent Network / Proximal)—— 攻击者需与目标设备处于同一局域网段

用户交互:无(Zero-Click)—— 完全无需用户点击、下载或确认任何内容

所需权限:无(None)—— 攻击前无需任何权限

影响后果:远程代码执行(Remote Code Execution),以shell用户身份运行

严重程度:严重(Critical)

修复版本:2026年5月1日安全补丁级别(Security Patch Level 2026-05-01)

 

0x02 影响范围

该漏洞影响以下Android版本中未更新至2026年5月安全补丁的设备:

Android版本
状态
所需补丁级别
Android 14
受影响
2026-05-01
Android 15
受影响
2026-05-01
Android 16
受影响
2026-05-01
Android 16 QPR2
受影响
2026-05-01

由于adbd组件通过Project Mainline模块化分发,Google可以直接通过Google Play系统更新推送修复,绕过了传统运营商和OEM更新渠道的延迟问题。但现实情况是,大量设备仍处于未修补状态,尤其是较老的设备和不再获得厂商安全更新的机型。

 

0x03 为什么是”零点击”

漏洞被称为”零点击”(Zero-Click)是因为整个攻击过程不需要目标用户的任何参与。传统的攻击链往往需要用户配合,例如点击恶意链接、安装恶意应用、或批准安全提示。而CVE-2026-0073的攻击路径完全自动化:

  1. 攻击者位于目标设备的同一局域网(例如酒店WiFi、企业网络、机场公共网络)
  2. 通过mDNS发现开启无线调试的设备
  3. 发送特制的网络数据包触发adbd_tls_verify_cert的逻辑漏洞
  4. 直接获得shell访问权限

整个过程不需要目标用户进行任何操作,甚至用户可能完全不知情。这种攻击模式对公共网络环境构成严重威胁——在酒店大堂、咖啡馆或会议室等共享网络环境中,攻击者只需扫描网络即可发现并入侵脆弱设备。

 

0x04 Android无线调试机制

要理解CVE-2026-0073的利用原理,首先需要了解Android无线调试的工作机制。Android 11引入了无线调试功能,允许开发者通过Wi-Fi网络而非USB线连接设备进行调试。这一功能通过adbd(Android Debug Bridge daemon)实现。

无线ADB连接流程涉及以下安全机制:

mDNS服务发现:当设备开启无线调试时,adbd进程在随机TCP端口监听,并通过mDNS协议广播其存在,允许同一网络上的主机发现该设备。

TLS双向认证:从Android 11开始,无线ADB连接使用TLS mutual authentication(双向TLS认证)。这意味着:

  • 设备需要验证连接主机的证书
  • 主机也需要验证设备的证书
  • 只有之前已配对的设备才能建立连接

配对密钥存储:首次配对时,主机和设备交换公钥,存储在/data/misc/adb/adb_keys文件中,后续连接时进行验证。

 

0x05 漏洞原因:adbd_tls_verify_cert逻辑错误

CVE-2026-0073的原因在于auth.cpp文件中的adbd_tls_verify_cert函数存在逻辑错误。该函数负责在无线ADB配对和连接流程中验证连接主机的TLS证书。问题在于证书验证逻辑中存在缺陷,允许攻击者完全绕过双向认证机制。

具体来说,正常的证书验证流程应该包括:

  1. 检查证书签名是否有效
  2. 验证证书是否在有效期内
  3. 检查证书是否与已存储的配对密钥匹配
  4. 验证证书的使用用途是否符合要求

adbd_tls_verify_cert函数的逻辑错误导致攻击者可以通过发送精心构造的输入,绕过上述验证步骤,直接建立起一个”已认证”的调试会话。这意味着攻击者无需持有有效的配对密钥,只要能够向目标设备发送网络数据包,就能伪装成已配对主机。

 

0x06 漏洞复现操作

adb连接目标设备:adb connect <目标IP地址>:5555,连接成功后获取shell权限:adb shell。之后可以执行以下操作。

数据提取

# 读取应用数据(针对可调试应用)
cat /data/data/com.example.app/databases/app.db
# 获取联系人、短信等敏感数据
cat /data/data/com.android.providers.contacts/databases/contacts2.db
# 读取用户文件
ls /storage/emulated/0/

监控与收集

# 屏幕截图
screencap /sdcard/screenshot.png
# 录屏
screenrecord /sdcard/video.mp4
# 实时日志
logcat

 

2
2人已评分
分享
请登录后发表评论

    没有回复内容

扫码添加微信 - 极核GetShell