CVE-2026-0073 漏洞分析报告
2026-05-08 12:52
CVE-2026-0073 漏洞分析报告
# CVE-2026-0073 漏洞分析报告
**标题:** CVE-2026-0073-Android-WirelessADB认证绕过漏洞**创建时间:** 2026-05-06T05:43:43.946225+08:00## 漏洞描述
该漏洞(CVE-2026-0073)是一个存在于Android无线ADB(Wireless Debugging)组件中的高危身份认证绕过漏洞。漏洞位于`adbd`守护进程的`auth.cpp`文件`adbd_tls_verify_cert`函数中。ADB(Android Debug Bridge)是Android开发者和高级用户用于调试、安装应用、执行命令的重要工具。无线ADB模式允许通过Wi-Fi网络进行调试,无需USB连接。为了安全,无线ADB在建立连接时会强制进行TLS双向认证(mutual authentication),要求客户端和服务端互相验证证书,以防止未经授权的设备接入。然而,由于该函数中存在逻辑错误(a logic error in the code),攻击者可以绕过这个双向认证过程。具体而言,该逻辑错误可能发生在证书链验证、主机名校验或密钥交换协议的实现上,导致攻击者能够伪造或绕过证书验证,使得未授权的恶意设备被当作可信的ADB客户端。成功利用此漏洞后,攻击者可以在无需任何额外权限(no additional execution privileges needed)且无需用户交互(User interaction is not needed)的情况下,获得目标设备上`shell`用户的远程代码执行能力。这意味着攻击者能够执行任意ADB命令,包括安装恶意应用、窃取数据、控制系统设置等,从而完全控制目标设备。CVSS 3.1评分为8.8(高危),攻击向量为ADJACENT_NETWORK(相邻网络),表明攻击者必须在物理上或逻辑上与被攻击设备处于同一近场网络环境中(例如连接到同一个Wi-Fi网络)。该漏洞由安全研究人员Ovi (@0x0v1 + Barghest.asia)发现,并已在2026年5月的Android安全公告中公开。# CVE-2026-0073-Android-WirelessADB认证绕过漏洞
**影响应用:** Android Wireless ADB 组件 (adbd)**危害等级:** 高危,可导致远程(近场/相邻网络)代码执行,完全控制设备Shell用户权限,无需用户交互**影响版本:** Android 14, 15, 16, 16-qpr2**利用条件:** 目标Android设备开启了无线ADB调试功能,攻击者与被攻击设备位于同一相邻网络(如同一Wi-Fi局域网或蓝牙范围内)**项目地址:** [unnaim/adbHijacker](https://github.com/unnaim/adbHijacker)**漏洞详情:** [NVD数据库](https://nvd.nist.gov/vuln/detail/CVE-2026-0073)## 详情
该漏洞(CVE-2026-0073)是一个存在于Android无线ADB(Wireless Debugging)组件中的高危身份认证绕过漏洞。漏洞位于`adbd`守护进程的`auth.cpp`文件`adbd_tls_verify_cert`函数中。ADB(Android Debug Bridge)是Android开发者和高级用户用于调试、安装应用、执行命令的重要工具。无线ADB模式允许通过Wi-Fi网络进行调试,无需USB连接。为了安全,无线ADB在建立连接时会强制进行TLS双向认证(mutual authentication),要求客户端和服务端互相验证证书,以防止未经授权的设备接入。然而,由于该函数中存在逻辑错误(a logic error in the code),攻击者可以绕过这个双向认证过程。具体而言,该逻辑错误可能发生在证书链验证、主机名校验或密钥交换协议的实现上,导致攻击者能够伪造或绕过证书验证,使得未授权的恶意设备被当作可信的ADB客户端。成功利用此漏洞后,攻击者可以在无需任何额外权限(no additional execution privileges needed)且无需用户交互(User interaction is not needed)的情况下,获得目标设备上`shell`用户的远程代码执行能力。这意味着攻击者能够执行任意ADB命令,包括安装恶意应用、窃取数据、控制系统设置等,从而完全控制目标设备。CVSS 3.1评分为8.8(高危),攻击向量为ADJACENT_NETWORK(相邻网络),表明攻击者必须在物理上或逻辑上与被攻击设备处于同一近场网络环境中(例如连接到同一个Wi-Fi网络)。该漏洞由安全研究人员Ovi (@0x0v1 + Barghest.asia)发现,并已在2026年5月的Android安全公告中公开。## 漏洞利用
- **攻击前提**:攻击者需要与目标Android设备处于同一相邻网络环境中。最常见的情况是连接到同一个Wi-Fi局域网。攻击者还需确保目标设备已开启“无线调试”功能(通常在开发者选项中)。
* **侦察**:攻击者使用网络扫描工具(如`adb devices`或自定义的ADB服务发现工具)扫描本地网络中开启了无线ADB服务的设备。ADB无线调试服务通常监听在TCP 5555端口(默认)或其他自定义端口。* **连接尝试**:攻击者使用ADB客户端尝试连接到目标设备的ADB服务器。在正常情况下,Android会发起TLS握手并验证客户端证书。* **绕过认证**:攻击者利用`adbd_tls_verify_cert`函数中的逻辑缺陷。可能的绕过方式包括:* **证书欺骗**:发送一个精心构造的、被服务端错误接受的恶意TLS证书,该证书可能利用了证书链验证中的通配符匹配错误、过期验证疏忽或主题备选名称(SAN)校验缺陷。* **协议降级**:诱使服务端降级到不安全的TLS版本或禁用客户端证书验证。* **会话劫持**:如果逻辑错误存在于会话密钥管理,攻击者可能重放或伪造一个有效的认证令牌。* **建立未授权ADB会话**:一旦绕过认证,`adbd`会错误地将攻击者视为已授权的调试客户端,并授予`shell`用户权限的ADB Shell访问。* **远程代码执行**:攻击者通过建立的ADB会话执行任意命令,例如:* `adb shell id` 确认shell权限。* `adb shell pm install <恶意APK>` 安装后门或间谍软件。* `adb pull /data/data/com.example.app/databases/...` 窃取应用数据。* `adb shell reboot -p` 远程关机或重启。* `adb forward tcp:<本地端口> tcp:<远程端口>` 建立隧道,进一步渗透内部网络。3. **POC说明**:官方漏洞库信息显示无法获取到POC代码。在公开的安全公告中,通常不会直接提供完整的利用代码,以防止大规模未授权利用。但基于漏洞描述(逻辑错误导致绕过),推测一个有效的POC可能是一个修改过的ADB客户端(基于AOSP源代码),该客户端在TLS握手阶段发送一个伪造的、但满足服务端错误校验条件的证书链。或者是一个能执行MITM(中间人攻击)脚本,在攻击者与设备之间拦截并篡改TLS握手信息。由于漏洞无需用户交互且无需额外权限,自动化利用脚本的编写难度相对较低。## 修复建议
- **官方补丁**:Google已在2026年5月的Android安全公告中发布针对CVE-2026-0073的修复补丁。用户应尽快将设备更新至2026年5月或之后的安全补丁级别。对于Android 14、15、16及16-qpr2版本,应安装特定的补丁更新(`2026-05-01`安全补丁等级)。设备制造商(OEM)会负责将补丁推送到受支持的设备上。
- **临时缓解措施**:在无法立即安装补丁的情况下,用户和管理员可以采取以下措施降低风险:
* **禁用无线ADB**:如果不需要使用无线调试功能,请在“开发者选项”中**关闭“无线调试”**。这是最直接有效的缓解措施。* **使用有线ADB**:在需要调试时,优先使用USB连接进行ADB调试,仅在信任的网络中使用无线ADB。* **网络隔离**:避免将开启无线ADB的设备连接到不安全的公共Wi-Fi网络。在企业环境中,应将此类设备放入独立的VLAN中,并设置严格的网络访问控制策略(NAC)。* **启用ADB授权超时**:在开发者选项中,确认“USB调试(安全设置)”已启用,并配置“撤销USB调试授权”以定期清理已授权的设备列表。* **设备管理员策略**:对于企业管理的设备,可以使用移动设备管理(MDM)解决方案强制禁用ADB调试功能,或仅允许通过USB进行调试。* **监控与检测**:安全团队应对内网中异常的ADB连接请求进行监控。例如,检测短时间内大量针对5555端口的连接尝试,或检测来自未知IP的ADB Shell执行记录。* **最小权限原则**:确保只有需要调试的开发人员或设备才开启ADB功能,并在使用完毕后立即关闭。**总结**:该漏洞是一个严重的认证绕过漏洞,影响广泛,利用条件相对容易满足(只需在同一Wi-Fi网络)。核心修复是安装Google提供的月度安全补丁。在补丁部署前,禁用无线ADB是唯一可靠的防护手段。## 相关仓库
### 1. MartinPSDev/CVE-2026-0073-Android-ADBD-bypass-POC
**URL:** https://github.com/MartinPSDev/CVE-2026-0073-Android-ADBD-bypass-POC**描述:** CVE-2026-0073 — Android ADB daemon (adbd) TLS authentication bypass via EVP_PKEY_cmp type confusion. Gain unauthorized shell access over WiFi using EC/Ed25519 key mismatch. PoC exploit for Android 14+.### 2. novaek/CVE-2026-0073-Research
**URL:** https://github.com/novaek/CVE-2026-0073-Research**描述:** CVE-2026-0073 is an RCE with a CVSS severity score of 8.3, and here we will explain how it works.### 3. SecTestAnnaQuinn/CVE-2026-0073-Android-adbd-authentication-bypass-POC
**URL:** https://github.com/SecTestAnnaQuinn/CVE-2026-0073-Android-adbd-authentication-bypass-POC### 4. ByteWraith1/CVE-2026-0073
**URL:** https://github.com/ByteWraith1/CVE-2026-0073### 5. CryptReaper12/CVE-2026-0073
**URL:** https://github.com/CryptReaper12/CVE-2026-0073### 6. devtint/CVE-2026-0073
**URL:** https://github.com/devtint/CVE-2026-0073### 7. adityatelange/Poc-CVE-2026-0073
**URL:** https://github.com/adityatelange/Poc-CVE-2026-0073**描述:** CVE-2026-0073 - ADB Wireless Mutual Authentication Bypass PoC### 8. u33pk/CVE-2026-0073-poc
**URL:** https://github.com/u33pk/CVE-2026-0073-poc### 9. unnaim/adbHijacker
**URL:** https://github.com/unnaim/adbHijacker**描述:** A PoC tool for the CVE-2026-0073 on android 11+ devices which allows instant zero click RCE on any unpatched device with adb over tcp enabled
