Een kritieke kwetsbaarheid in Androidtelefoons maakt remote code execution (RCE) mogelijk, zonder dat er enige interactie van gebruikers is vereist. Google heeft updates uitgebracht om het probleem te verhelpen. Het beveiligingslek (CVE-2026-0073) is aanwezig in het System-onderdeel van Android. Google geeft nauwelijks details over de aard van het beveiligingslek of hoe hier misbruik van gemaakt kan worden, behalve dat de kwetsbaarheid kan leiden tot "remote (proximal/adjacent) code execution" als de shell user, zonder dat hier extra rechten voor zijn vereist.

Daarnaast is er geen interactie van gebruikers nodig om misbruik van het beveiligingslek te maken. De vermelding van 'proximal/adjacent' kan op een aanval via bijvoorbeeld bluetooth duiden, maar zonder verdere informatie is dit niet met zekerheid te zeggen. Naast CVE-2026-0073 heeft Google deze maand ook een ander lek gepatcht, maar het techbedrijf geeft hier geen details over.

Patchniveau

Google werkt met zogeheten patchniveaus, waarbij een datum het patchniveau weergeeft. Toestellen die de mei-updates ontvangen zullen '2026-05-01' of '2026-05-05' als patchniveau hebben. Fabrikanten die willen dat hun toestellen dit patchniveau krijgen moeten in dit geval alle updates van het Android-bulletin van mei aan hun eigen updates toevoegen, om die vervolgens onder hun gebruikers uit te rollen. De updates zijn beschikbaar gesteld voor Android 14, 15, 16 en 16-qpr2.

Fabrikanten van Androidtoestellen zijn volgens Google tenminste een maand geleden over de nu verholpen kwetsbaarheden ingelicht en hebben in die tijd updates kunnen ontwikkelen. Dat wil echter niet zeggen dat alle Androidtoestellen deze updates zullen ontvangen. Sommige toestellen worden niet meer met updates van de fabrikant ondersteund of de fabrikant brengt de updates op een later moment uit. Google maakte onlangs nog bekend dat 40 procent van de Androidtelefoons geen updates meer ontvangt.