Критическая ошибка CVE-2026-0073 затронула HyperOS 2 и 3

В майском бюллетене безопасности Android за 2026 год представлена информация о критической уязвимости CVE-2026-0073, затрагивающей смартфоны Xiaomi под управлением HyperOS 2 и HyperOS 3. Обнаруженная ошибка в системном компоненте Android позволяет злоумышленникам удаленно исполнять вредоносный код. Для реализации атаки не требуется взаимодействие с пользователем или установка подозрительных приложений — достаточно нахождения атакующего в непосредственной близости или в одной сети с устройством.

Уязвимость относится к категории «zero-click», что позволяет получить доступ к уровню прав shell user даже на заблокированном смартфоне. Под угрозой находятся персональные данные, включая сообщения, фотографии и доступ к банковским сервисам. Ошибка также затрагивает компонент adbd (Android Debug Bridge), через который может быть проведена частичная защита посредством обновлений Google Project Mainline до выхода полноценного патча от производителя.

Xiaomi планирует интегрировать исправление в прошивки для устройств на базе Android 14, 15 и 16. Обновление затронет глобальные, европейские, индийские и китайские версии смартфонов Xiaomi, Redmi и POCO. Для подтверждения устранения уязвимости в настройках системы в строке версии патча безопасности должна быть указана дата 2026-05-01. Ожидается, что первыми исправление получат флагманские модели и устройства среднего сегмента.