Google vừa phát hành bản tin bảo mật Android tháng 5/2026, trong đó vá một lỗ hổng được xếp loại nghiêm trọng với mã CVE-2026-0073. Lỗ hổng này cho phép kẻ tấn công kiểm soát một phần điện thoại Android từ xa mà không cần nạn nhân nhấn vào đường link, tải file, hay làm bất cứ điều gì.
Lỗ hổng hoạt động như thế nào
Để hiểu vấn đề, cần biết sơ qua về một tính năng tên là ADB (Android Debug Bridge) - công cụ mà lập trình viên và kỹ sư kiểm thử dùng để kết nối máy tính với điện thoại Android, chạy lệnh từ xa, cài ứng dụng, kiểm tra lỗi phần mềm. Trên các thiết bị Android 11 trở lên, tính năng này có thể hoạt động hoàn toàn qua Wi-Fi, không cần cắm cáp.
Vấn đề nằm ở khâu xác minh danh tính: khi một máy tính muốn kết nối với điện thoại qua ADB không dây, hệ thống phải kiểm tra xem máy tính đó có phải thiết bị đã được chủ nhân cho phép từ trước không. Lỗi trong CVE-2026-0073 khiến bước kiểm tra này bị thực hiện sai, cho phép một máy tính lạ vượt qua hàng rào xác minh và kết nối như thể đã được cấp phép.
Kẻ tấn công sau đó có thể chạy lệnh trên điện thoại với quyền của tài khoản hệ thống "shell" - đủ để đọc dữ liệu từ các ứng dụng đang ở chế độ debug, chụp ảnh màn hình, xem thông tin hệ thống, và có khả năng leo thang lên các quyền cao hơn tùy từng thiết bị. Đây không phải quyền quản trị tối cao, nhưng vẫn là mức truy cập vượt ra ngoài vùng an toàn thông thường của Android.
Ai thực sự có nguy cơ
Điều quan trọng cần nói rõ: lỗ hổng này chỉ hoạt động khi tính năng Wireless Debugging đang được bật trên thiết bị. Đây là tính năng nằm sâu trong Developer Options (Tùy chọn nhà phát triển) - mục ẩn theo mặc định trên mọi Android, chỉ mở được bằng cách vào Cài đặt > Thông tin điện thoại và nhấn vào "Số hiệu bản dựng" bảy lần liên tiếp.
Người dùng thông thường gần như chắc chắn không có tính năng này đang chạy. Nhóm thực sự cần cảnh giác là lập trình viên ứng dụng Android, kỹ sư kiểm thử (QA), và thiết bị dùng trong môi trường doanh nghiệp có bật chế độ debug. Rủi ro tăng cao ở những nơi nhiều thiết bị cùng chung mạng nội bộ như văn phòng công ty, khuôn viên trường đại học, hoặc quán cà phê có Wi-Fi chung.
Thêm vào đó, Google xác nhận hiện chưa ghi nhận bất kỳ cuộc tấn công thực tế nào khai thác lỗ hổng này, và cũng chưa có mã khai thác nào được công bố công khai.
Thiết bị nào bị ảnh hưởng và bản vá ở đâu
Lỗ hổng ảnh hưởng đến các phiên bản Android 14, 15, 16 và 16-QPR2. Các máy chạy Android 13 trở xuống không nằm trong danh sách - không phải vì an toàn hơn, mà vì Google đã chính thức kết thúc hỗ trợ bảo mật cho các phiên bản đó từ đầu năm 2026.
Google Pixel đã nhận bản vá trong đợt cập nhật tháng 5/2026. Samsung xác nhận CVE-2026-0073 là một trong hai lỗ hổng nghiêm trọng nhất được vá trong bản cập nhật bảo mật tháng 5 cho dòng Galaxy, dù việc triển khai đến tay người dùng vẫn đang trong quá trình. Với các hãng khác như Xiaomi, OPPO, vivo, chưa có thông báo timeline cụ thể - song theo quy trình chuẩn, Google thông báo cho các đối tác OEM ít nhất một tháng trước khi công bố, nên bản vá được chuẩn bị sẵn và sẽ được đẩy ra dần.
Một điểm đáng chú ý là thành phần adbd liên quan đến lỗ hổng này thuộc Project Mainline - hệ thống cho phép Google cập nhật một số phần lõi của Android thông qua Google Play System Update, không cần chờ OEM tung firmware mới. Người dùng Android 10 trở lên có thể nhận bản vá theo đường này sớm hơn dự kiến.
Kiểm tra và cập nhật
Để xác nhận thiết bị đã được vá, vào Cài đặt > Thông tin điện thoại > Phiên bản Android hoặc Thông tin phần mềm (tên mục khác nhau tùy hãng) và kiểm tra dòng "Mức vá bảo mật Android". Nếu hiển thị ngày 1 tháng 5 năm 2026 trở lên, thiết bị đã an toàn.
Ngoài ra, có thể kiểm tra Google Play System Update trong Cài đặt > Bảo mật > Google Play system update. Nếu có bản cập nhật chờ, nên cài ngay.
Với lập trình viên và kỹ sư đang dùng Wireless Debugging thường xuyên: nên tắt tính năng này khi không sử dụng, tránh để thiết bị ở chế độ debug khi kết nối vào các mạng Wi-Fi công cộng hoặc dùng chung với nhiều người.
Thế Duyệt
