CVE-2026-0073 : Bypass d'authentification critique dans ADB-over-TCP d'Android permettant une RCE

🔍 Contexte

Publié le 5 mai 2026 par BARGHEST sur leur blog, cet article constitue une divulgation coordonnée avec Google d’une vulnérabilité critique découverte dans le démon ADB (adbd) d’Android, identifiée sous CVE-2026-0073.

🐛 Vulnérabilité

CVE-2026-0073 est un bypass d’authentification dans le chemin d’authentification ADB-over-TCP d’Android, plus précisément dans la fonction adbd_tls_verify_cert du fichier platform/packages/modules/adb/daemon/auth.cpp.

La cause racine est une mauvaise utilisation de l’API EVP_PKEY_cmp de BoringSSL/OpenSSL :

• L’API retourne 1 (clés identiques), 0 (même type, clés différentes), -1 (types différents), -2 (opération non supportée)
• Le code vulnérable traite toute valeur non nulle comme un succès
• Un attaquant présentant un certificat TLS client avec une clé non-RSA (EC P-256 ou Ed25519) face à une clé stockée RSA provoque un retour de -1, interprété comme une authentification réussie

if (EVP_PKEY_cmp(known_evp.get(), evp_pkey.get())) {
    verified = true; // -1 est truthy en C/C++
}

⚙️ Conditions d’exploitation

• Developer options activées
• ADB-over-TCP activé (Wireless debugging ou exposition du service adbd)
• Au moins une clé RSA précédemment appairée dans /data/misc/adb/adb_keys
• Accessibilité réseau au port TCP ADB (typiquement port 5555)

🔗 Chaîne d’exploitation

L’exploitation nécessite trois étapes séquentielles :

1. Transport gate : connexion TCP au service ADB-over-TCP
2. Protocol gate : négociation ADB CNXN → STLS → upgrade TLS 1.3 avec certificat client non-RSA
3. Authentication gate : bypass via comparaison cross-algorithme, puis ouverture d’un stream shell ADB (OPEN shell:\x00)

💥 Impact

• RCE sans interaction en tant qu’utilisateur shell (UID 2000), contexte SELinux u:r:shell:s0
• Accès au débogage système, gestion de paquets, logs, données accessibles via ADB
• Staging pour exploitation ultérieure
• Plus de 10 000 appareils exposés détectés en Corée sur le port 5555

🔗 Liens avec des menaces réelles

Le rapport mentionne le spyware Morpheus (rapport Osservatorio Nessuno, avril 2026) qui automatise l’activation du Wireless debugging via des workflows Accessibility — créant exactement les conditions préalables à cette vulnérabilité. BARGHEST confirme que Morpheus n’exploite pas CVE-2026-0073 directement.

🛠️ Correctif

• BoringSSL : commit 3975388935512ea017024973924cfaf06f5b7822 modifie EVP_PKEY_cmp pour ne retourner que 1 ou 0
• Android : correctif côté plateforme distribué le 31 mars 2026, CVE rendue publique le 4 mai 2026

📅 Timeline

• Novembre 2025 : découverte initiale
• 13 décembre 2025 : soumission à Google VDP
• 9 janvier 2026 : triage Google, sévérité critique
• 31 mars 2026 : patch distribué
• 4-5 mai 2026 : divulgation publique coordonnée

📄 Type d’article

Il s’agit d’une analyse technique approfondie et d’une divulgation coordonnée, visant à documenter précisément la vulnérabilité, sa chaîne d’exploitation et son impact pour la communauté de sécurité.

🧠 TTPs et IOCs détectés

TTP

• T1210 — Exploitation of Remote Services (Lateral Movement)
• T1190 — Exploit Public-Facing Application (Initial Access)
• T1059 — Command and Scripting Interpreter (Execution)
• T1552.004 — Unsecured Credentials: Private Keys (Credential Access)

IOC

• CVEs : CVE-2026-0073 — NVD · CIRCL
• CVEs : CVE-2020-16088 — NVD · CIRCL
• Chemins : /data/misc/adb/adb_keys

Malware / Outils

• Morpheus (other)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

• ⬜ barghest.asia — source non référencée (0pts)
• ✅ 19354 chars — texte complet (fulltext extrait) (15pts)
• ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 4 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://barghest.asia/blog/cve-2026-0073-adb-tls-auth-bypass/