Google ha pubblicato il bollettino di sicurezza Android di maggio 2026 segnalando una falla critica di esecuzione remota del codice.
Questa è stata classificata come CVE-2026-0073, che consente a un aggressore di ottenere accesso remoto al dispositivo senza che l’utente compia alcuna azione. Nessun link da cliccare, nessuna app da installare, nessuna interazione necessaria: basta essere nelle vicinanze.
La vulnerabilità risiede nell’Android Debug Bridge Daemon, componente del sottosistema adbd all’interno di Project Mainline. Il vettore di attacco è classificato come prossimale o adiacente, il che significa che l’aggressore deve trovarsi sulla stessa rete locale o in prossimità fisica del dispositivo bersaglio. Non è un attacco che arriva da internet: richiede vicinanza — una rete Wi-Fi condivisa, un hotspot pubblico, un ambiente di lavoro.
Google, l’avviso critico per i dispositivi
Il punto tecnico che rende questa vulnerabilità particolarmente seria è che il componente colpito è un servizio di sistema di basso livello, pensato per la comunicazione tra dispositivi in fase di sviluppo e debug. Adam Boynton, esperto di sicurezza di Jamf, ha commentato che si tratta di un’interfaccia di debug che non avrebbe mai dovuto essere un’area di attacco in produzione, e che la falla riflette lo stesso schema architetturale su cui gli operatori di spyware commerciale costruiscono le proprie catene di exploit: accesso a livello di sistema, nessuna azione dell’utente, nessun indicatore visibile.
Google, l’avviso critico per i dispositivi-melablog.it
I sistemi operativi interessati sono Android 14, 15, 16 e 16-QPR2. Chi usa versioni precedenti non è esposto a questa specifica vulnerabilità — paradossalmente, un dispositivo molto vecchio con un sistema operativo datato sfugge al problema, mentre i telefoni recenti con Android aggiornato rientrano nel perimetro di rischio.
L’accesso ottenuto tramite questa falla è di tipo “shell”, non root. La distinzione conta: sebbene l’accesso shell non equivalga al pieno controllo root, fornisce comunque agli aggressori la capacità di aggirare il sandboxing delle applicazioni, interagire con i processi di sistema e potenzialmente stabilire una persistenza o scalare verso livelli di accesso più elevati.
Google ha dichiarato di non essere a conoscenza di sfruttamenti attivi di CVE-2026-0073 al momento della divulgazione. L’unica vulnerabilità Android corretta nel 2026 segnalata come già sfruttata attivamente è diversa. L’anno scorso, invece, diversi exploit erano stati usati in attacchi reali, tra cui CVE-2024-43093, CVE-2024-50302 e CVE-2025-48543.
La correzione è disponibile. I dispositivi con il livello di patch di sicurezza del 1° maggio 2026 o successivo sono protetti. Poiché il componente adbd fa parte di Project Mainline, Google può distribuire la patch direttamente tramite aggiornamenti del sistema Google Play, bypassando i tempi di attesa legati all’approvazione dei produttori e degli operatori telefonici per i dispositivi con Android 10 o versioni successive.
Il meccanismo di aggiornamento tramite Google Play è rilevante perché riduce il divario tra il rilascio della patch e la sua applicazione sui dispositivi, un problema storico dell’ecosistema Android frammentato tra decine di produttori con politiche di aggiornamento molto diverse. I Pixel ricevono la patch per primi; Samsung e altri produttori seguono con tempistiche proprie.
Google ha recentemente aumentato significativamente i massimi rimborsi per i programmi di bug bounty su Android, arrivando fino a 1,5 milioni di dollari per un exploit zero-click sul Pixel Titan M con persistenza. Un dato che indica quanto il settore valuti economicamente questo tipo di vulnerabilità — e quanto sia attraente per chi le cerca.
