Включил отладку по Wi-Fi — получил Mamont

Вот важная новость с фронта ИИ: ptsecurity 4 минуты назад Включил отладку по Wi-Fi — получил Mamont 3 мин 152 Блог компании Positive Technologies Информационная безопасность * Android * Беспроводные технологии * Тестирование мобильных приложений * Кейс В начале мая на устройствах Android была обнаружена уязвимость CVE-2026-0073, которая позволяет удаленно выполнять команды на мобильном устройстве без подтверждения со стороны пользователя. Уязвимы устройства с Android 11 и выше, на которых включена функция отладки по Wi-Fi. Официально Android сообщает об ошибках в коде для Android 14-16, но уязвимая функция присутствует в исходниках Android 11, в котором появилась функция отладки по Wi-Fi.

Функция отладки по Wi-Fi является легитимной — она позволяет подключаться к мобильному устройству для установки, тестирования приложений и создания резервных копий (Рисунок 1). Для использования этой функции необходимо осуществить сопряжение с ПК и подтвердить доверенные связи. CVE-2026-0073 дает возможность пропустить этап подтверждения связей и сразу взаимодействовать с устройством.

Технические детали

Мы решили изучить, как далеко может зайти злоумышленник при эксплуатации данной CVE. Схема заражения устройстваПользователь с включенной отладкой по Wi-Fi подключается к незащищенной Wi-Fi-сети. Злоумышленник, находясь в этой же сети, сканирует ее на наличие адресов с открытыми портами для отладки по ADB:Рисунок 2.

Проэксплуатировав CVE-2026-0073, злоумышленник получает доступ к командной строке мобильного устройства и может выполнять различные команды на устройстве (Рисунок 3):получать доступ к спискам контактов, звонков, SMS-сообщений и установленных приложений;удалять и устанавливать приложения без ведома пользователя;повышать привилегии установленного приложения, выдав ему специальные разрешения на устройстве: специальные возможности (Accessibility Services) и доступ к уведомлениям (Notification Access). Получив необходимые данные, злоумышленник может удалить легитимное приложение на устройстве и заменить его на приложение с вредоносными функциями:Рисунок 4. Происходит кража пользовательских данных и их отправка на серверы злоумышленников.

Почему так происходит? Уязвимость находится в демоне Android Debug Bridge — adbd: в функции проверки TLS-сертификатов adbd_tls_verify_cert в auth. Атака затрагивает режим Wireless Debugging / ADB-over-TCP, где подключение между ПК и устройством строится через mutual TLS: Android проверяет клиентский сертификат подключающегося хоста.

Отраслевые последствия

В нормальном режиме adbd сравнивает публичный ключ сертификата клиента с ранее доверенным ключом, сохраненным после ADB pairing. Ошибка возникает из-за неправильной обработки результата функции EVP_PKEY_cmp: код считает любое ненулевое значение успешным совпадением ключа. Злоумышленник подменяет TLS-сертификат, используя ключ другого типа (например, EC/Ed25519 вместо RSA).

В таком случае EVP_PKEY_cmp возвращает -1 («разные типы ключей»), но уязвимый код воспринимает это как успешную проверку.

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.