CVE-2026-0073 : Bypass d'authentification critique dans ADB-over-TCP d'Android permettant une RCE

Fri, 08 May 2026 00:00:00 +0000

🔍 Contexte

Publié le 5 mai 2026 par BARGHEST sur leur blog, cet article constitue une divulgation coordonnée avec Google d’une vulnérabilité critique découverte dans le démon ADB (adbd) d’Android, identifiée sous CVE-2026-0073.

🐛 Vulnérabilité

CVE-2026-0073 est un bypass d’authentification dans le chemin d’authentification ADB-over-TCP d’Android, plus précisément dans la fonction adbd_tls_verify_cert du fichier platform/packages/modules/adb/daemon/auth.cpp.

La cause racine est une mauvaise utilisation de l’API EVP_PKEY_cmp de BoringSSL/OpenSSL :

L’API retourne 1 (clés identiques), 0 (même type, clés différentes), -1 (types différents), -2 (opération non supportée)
Le code vulnérable traite toute valeur non nulle comme un succès
Un attaquant présentant un certificat TLS client avec une clé non-RSA (EC P-256 ou Ed25519) face à une clé stockée RSA provoque un retour de -1, interprété comme une authentification réussie

if (EVP_PKEY_cmp(known_evp.get(), evp_pkey.get())) {
    verified = true; // -1 est truthy en C/C++
}

⚙️ Conditions d’exploitation

Developer options activées
ADB-over-TCP activé (Wireless debugging ou exposition du service adbd)
Au moins une clé RSA précédemment appairée dans /data/misc/adb/adb_keys
Accessibilité réseau au port TCP ADB (typiquement port 5555)

🔗 Chaîne d’exploitation

L’exploitation nécessite trois étapes séquentielles :

BoringSSL on CyberVeille

CVE-2026-0073 : Bypass d'authentification critique dans ADB-over-TCP d'Android permettant une RCE

🔍 Contexte

🐛 Vulnérabilité

⚙️ Conditions d’exploitation

🔗 Chaîne d’exploitation