Березневий пакет оновлень безпеки Android за 2026 рік став одним із найпомітніших за останній час: у ньому Google закрила 129 вразливостей у ключових компонентах операційної системи та пропрієтарних модулях. Особливу увагу привернула 0-day уразливість CVE-2026-21385 у компонентах Qualcomm, яка вже використовується в реальних, хоча й обмежених, цільових атаках.
Березневий бюлетень безпеки Android 2026: структура та охоплення
Google традиційно поширює виправлення через щомісячний Android Security Bulletin, розбиваючи оновлення на два рівні патчів: 2026-03-01 та 2026-03-05. Перший рівень охоплює вразливості в базових компонентах System і Framework, другий додає виправлення для ядра Linux (Kernel), а також драйверів і модулів виробників чипсетів та пристроїв.
Пристрої лінійки Google Pixel зазвичай отримують оновлення в перший день публікації бюлетеня. Іншим виробникам потрібен додатковий час на інтеграцію, тестування та розгортання патчів, що створює вікно вразливості, протягом якого користувачі залишаються підвищено вразливими до експлойтів, особливо у випадку з 0-day.
0-day CVE-2026-21385 у Qualcomm: підтверджена експлуатація
Найбільш критичним елементом березневого оновлення стала 0-day уразливість CVE-2026-21385 у компонентах Qualcomm. Статус 0-day означає, що експлуатація почалася ще до виходу публічного виправлення. Google зазначає наявність доказів використання цієї прогалини у цілеспрямованих атаках, однак технічні деталі експлойтів навмисно не розкриваються, аби не спростити роботу зловмисникам.
Integer overflow у графічному модулі Qualcomm: як працює вразливість
Згідно з окремим бюлетенем безпеки Qualcomm, CVE-2026-21385 класифікується як integer overflow / wraparound у підкомпоненті Graphics. Помилка виникає, коли результат арифметичної операції з цілими числами виходить за межі допустимого діапазону, «переплітається» через граничне значення й зберігається в обрізаному вигляді. Це може призвести до пошкодження вмісту пам’яті, зокрема важливих структур даних у драйвері.
Практично це відкриває можливість для локального підвищення привілеїв або потенційного виконання довільного коду у контексті драйвера графіки. Формально вимагається локальний доступ, але на практиці він часто досягається через встановлення шкідливих застосунків, фішингові кампанії або ланцюжки з кількох вразливостей, коли мережева помилка поєднується з локальною для повного захоплення пристрою.
235 чипсетів Qualcomm та динаміка реагування
За даними Qualcomm, CVE-2026-21385 зачіпає 235 різних чипсетів компанії. Це означає, що під ризиком опинилася значна частина екосистеми Android — від масових смартфонів середнього сегменту до флагманських пристроїв та планшетів, побудованих на популярних мобільних платформах Qualcomm.
Qualcomm отримала повідомлення від команди Android Security 18 грудня 2025 року, а клієнти компанії були проінформовані 2 лютого 2026 року. Патчі для партнерів стали доступні вже в січні 2026 року. Примітно, що у лютневому бюлетені Qualcomm уразливість ще не позначалася як експлуатована, тоді як березневий Android Security Bulletin уже фіксує реальне використання. Це підкреслює, наскільки швидко загроза може перейти з теоретичної площини у практичну при затримках впровадження оновлень.
Інші критичні вразливості в System, Framework та Kernel
Окрім 0-day у Qualcomm, березневий пакет включає виправлення десяти критичних вразливостей у модулях System, Framework та Kernel. Частина з них потенційно дозволяє віддалене виконання коду (RCE), підвищення привілеїв або відмову в обслуговуванні (DoS) з повним виведенням пристрою з ладу до перезавантаження.
Google окремо виділяє найсерйознішу вразливість у компоненті System, яка дає змогу здійснити RCE без додаткових привілеїв і без будь-якої взаємодії користувача. Для атакуючого це «ідеальний сценарій»: достатньо лише доставити спеціально сформований трафік або інший тригер на вразливий пристрій, після чого шкідливий код може бути виконаний автоматично, без кліків, встановлення застосунків чи відкриття вкладень.
Рекомендації з кібербезпеки для користувачів і організацій
З огляду на наявність експлуатованої 0-day уразливості в чипах Qualcomm і низки критичних проблем у базових компонентах Android, якнайшвидше встановлення березневих оновлень безпеки має стати пріоритетом як для приватних користувачів, так і для бізнесу.
Практичні кроки:
– перевірити наявність оновлень у розділі «Оновлення системи» та встановити патч рівня 2026-03-01 або, за можливості, 2026-03-05;
– обирати пристрої, для яких виробник гарантує регулярні та довгострокові оновлення безпеки, і враховувати це при плануванні закупівель;
– у корпоративному середовищі централізувати керування оновленнями (MDM/EMM-рішення), тестувати патчі на пілотній групі, але не відкладати широке розгортання без вагомих причин;
– мінімізувати встановлення застосунків із неперевірених джерел, приділяти увагу правам доступу застосунків, а також навчати користувачів протидії соціальній інженерії;
– регулярно відстежувати Android Security Bulletin, оголошення виробника пристрою та оновлення безпеки постачальників чипсетів.
Своєчасне оновлення мобільних операційних систем залишається одним із найбільш ефективних способів знизити ризик компрометації пристроїв. Березневий пакет виправлень Android 2026 року демонструє, що навіть одинична помилка в низькорівневому графічному компоненті, такому як CVE-2026-21385 у Qualcomm, може стати стартовою точкою для точкових атак на високозахищені цілі. Варто перетворити оновлення безпеки, моніторинг нових вразливостей і регулярний перегляд політик мобільної безпеки на усталену практику — як для окремих користувачів, так і для організацій будь-якого масштабу.
