Cette veille porte sur la faille de sécurité détectée le 4 mai 2026 permettant de contourner l’authentification ADB sans fil sous Android.
Présentation d’Android Debug Bridge (ADB)
ADB est un outil qui permet à un développeur de se connecter à un téléphone Android depuis son ordinateur pour le déboguer, installer des applications ou lire des fichiers. C’est un peu comme une télécommande cachée du téléphone, réservée aux développeurs.
Depuis Android 11, cette connexion peut se faire sans câble, via le Wi-Fi, avec un système de sécurité basé sur TLS (le même protocole qui sécurise les sites HTTPS).
Présentation de la faille CVE-2026-0073
La faille se situe dans une fonction appelée adbd_tls_verify_cert, dans le fichier auth.cpp du démon ADB.
Son rôle normal : quand un ordinateur essaie de se connecter au téléphone via Wi-Fi, cette fonction vérifie que l’ordinateur est bien connu et autorisé, en contrôlant son certificat (une sorte de carte d’identité numérique).
Le problème : à cause d’une erreur logique dans le code, cette vérification ne fonctionne pas correctement. Le téléphone accepte la connexion même si l’ordinateur n’est pas reconnu
Client (PC) adbd (téléphone)
│ │
│──── TCP SYN ────────────────────────▶│
│◀─── TCP SYN-ACK ────────────────────│
│ │
│──── A_STLS (demande TLS) ──────────▶│
│◀─── A_STLS (accord TLS) ────────────│
│ │
│══════ TLS Handshake (mutual) ════════│
│ → Client envoie son certificat X509 │
│ → adbd appelle adbd_tls_verify_cert │ ← FAILLE ICI
│ → Serveur envoie son certificat │
│ → Client vérifie le serveur │
│ │
│──── Connexion établie ou rejetée ───▶│La notion clé ici est mutual — les deux parties s’authentifient mutuellement. Le client vérifie le serveur ET le serveur vérifie le client. La faille casse uniquement la vérification côté serveur, ce qui signifie que le téléphone ne sait plus distinguer un client légitime d’un inconnu.
Que faire dans ce cas la ?
La mesure la plus efficace et immédiate est de désactiver le débogage sans fil (Paramètres → Options développeur → Débogage sans fil → OFF), car tant que cette option est inactive, la faille ne peut tout simplement pas être exploitée, peu importe le réseau sur lequel vous vous trouvez.
Patienter et surveiller la mise à jour de votre constructeur — Google a publié le bulletin de sécurité, mais Samsung, Xiaomi, OnePlus et les autres doivent encore intégrer ce correctif dans leurs propres versions d’Android, ce qui prend généralement entre 1 et 3 mois. Dès qu’une mise à jour est disponible pour votre modèle, installez-la immédiatement sans attendre.
Source :
OpenCVE ici:
NVD ici:
Android ici: