Android łata zero-click bez dotyku, Microsoft awaryjnie ratuje .NET, a Pentagon wybiera AI bez Anthropic — IT na 5 maja 2026

## 1. Android: krytyczna luka zero-click w adbd (CVE-2026-0073) — wystarczy być w tej samej sieci

Google opublikowało **majowy biuletyn bezpieczeństwa Androida (4 maja 2026)** i jednym z najpoważniejszych wpisów jest **CVE-2026-0073** — krytyczna luka pozwalająca na **zdalne wykonanie kodu (RCE) bez żadnej interakcji użytkownika**. Atakujący nie musi wysłać linku, SMS-a, ani nakłonić ofiary do instalacji aplikacji. Wystarczy, że jest w pobliżu — w tej samej sieci Wi-Fi (np. w hotelu, na lotnisku, w kawiarni) albo blisko fizycznie.

Korzeń luki tkwi w **podkomponencie adbd** — czyli demonie Android Debug Bridge. To ten sam mechanizm, który programiści wykorzystują do podłączania telefonu do komputera kablem USB. Okazuje się, że da się go wykorzystać proksymalnie. Po udanym ataku napastnik dostaje powłokę z uprawnieniami użytkownika "shell".

Co robić: sprawdź w **Ustawienia → System → Aktualizacje zabezpieczeń**, czy "Poziom poprawek zabezpieczeń" to **2026-05-01 lub późniejszy**. Jeśli tak — jesteś bezpieczny. Jeśli nie — wymuś aktualizację (instrukcja krok po kroku w sekcji "Praktyczna porada").

## 2. Microsoft awaryjnie łata ASP.NET Core (CVE-2026-40372, CVSS 9.1) — fałszowanie cookies → SYSTEM

Microsoft wydał **out-of-band** (poza standardowym Patch Tuesday) poprawkę dla **ASP.NET Core Data Protection**. Luka **CVE-2026-40372** (CVSS 9.1, "Important") pozwala **nieuwierzytelnionemu** atakującemu sfałszować cookies uwierzytelniające i podnieść uprawnienia do **SYSTEM** na serwerze.

Problem dotyczy wersji **10.0.0 do 10.0.6** pakietu `Microsoft.AspNetCore.DataProtection`. W skrócie: szyfrator z uwierzytelnianiem (HMAC) liczył tag walidacyjny po niewłaściwych bajtach, a potem go odrzucał. Efekt: dało się podrobić podpisane dane.

Microsoft wydał **.NET 10.0.7 OOB** już po tym, jak po Patch Tuesday klienci zgłosili problem z deszyfrowaniem (zgłoszenie #66335 w aspnetcore na GitHubie). Inżynierowie sprawdzili, dlaczego coś nie działa — i znaleźli przy okazji lukę bezpieczeństwa. Administratorzy serwerów ASP.NET powinni **natychmiast zaktualizować pakiet, zrotować klucze Data Protection (key ring) i przeglądnąć sesje uprzywilejowane wydane w okresie podatności**.

## 3. Fiserv (fintech obsługujący tysiące banków) trafiony przez Everest ransomware

**Fiserv, Inc.** — amerykański gigant przetwarzania płatności i technologii bankowych obsługujący tysiące banków, sklepów i kart płatniczych — został zaatakowany przez grupę ransomware **Everest**. Włamanie wykryto **3 maja 2026** (część źródeł podaje 4 maja). Fiserv to firma z listy Fortune 500, z której usług korzystają miliony klientów na świecie.

Everest to grupa specjalizująca się w wycieku **danych prywatnych klientów, informacji finansowych, baz danych i numerów kart płatniczych**. Stosuje klasyczny schemat **double extortion** — szyfruje dane i jednocześnie grozi ich publikacją, jeśli okup nie zostanie zapłacony. Fiserv jeszcze nie potwierdził oficjalnie szczegółów, więc twierdzenia grupy należy traktować z ostrożnością — ale skala potencjalnych konsekwencji dla łańcucha płatniczego jest duża.

Dla Polaków bezpośredni wpływ jest na razie ograniczony, ale **klienci międzynarodowych kart wydanych przez banki współpracujące z Fiserv** powinni w najbliższych tygodniach uważnie monitorować wyciągi i włączyć powiadomienia o transakcjach w aplikacji bankowej.

## 4. Pentagon zawiera kontrakty AI z OpenAI, Google, Microsoftem, Nvidią i 4 innymi — Anthropic poza listą

Departament Obrony USA **sfinalizował umowy AI z ośmioma firmami**: **OpenAI, Google, Microsoft, Amazon, Oracle, Nvidia, SpaceX i Reflection AI**. Kontrakty rozszerzają wykorzystanie sztucznej inteligencji do **środowisk niejawnych** — analizy wywiadu, logistyki i przetwarzania danych w dużej skali.

Na liście **brakuje Anthropic** — twórcy modeli Claude. Powodem jest **spór o warunki umowy**: Anthropic odmówił zgody na klauzulę pozwalającą wojsku używać Claude do "wszelkich legalnych celów", w tym **autonomicznych systemów uzbrojenia i masowej inwigilacji**. Administracja Trumpa zapowiedziała zerwanie współpracy.

Pikanterii dodaje fakt, że **w kwietniu sędzia federalny w Kalifornii zablokował próbę umieszczenia Anthropic na czarnej liście rządowej**, ale spór trwa nadal. Równolegle, 4 maja, **zarówno Anthropic, jak i OpenAI ogłosiły joint ventures dla usług enterprise AI** — OpenAI zbiera 4 mld $ od 19 inwestorów przy wycenie 10 mld $.

## 5. Linux "Copy Fail" (CVE-2026-31431) trafia na listę CISA KEV — federalne agencje mają termin 15 maja

**CISA** dodała opisaną w zeszłym tygodniu lukę **CVE-2026-31431** ("Copy Fail") w jądrze Linuxa do katalogu **Known Exploited Vulnerabilities (KEV)** — to znaczy, że potwierdzono jej **aktywne wykorzystywanie w atakach**. Federalne agencje cywilne (FCEB) muszą zainstalować łatki **do 15 maja 2026**.

Przypomnijmy: to luka w szablonie kryptograficznym `authenc(esn)` obecna od 2017 roku, pozwalająca lokalnemu nieuprzywilejowanemu użytkownikowi **zostać rootem** poprzez 10-linijkowy skrypt Pythona, który wpisuje kontrolowane 4 bajty do page cache i nadpisuje binarkę z setuid. Łatki są w jądrach **6.18.22, 6.19.12 i 7.0**, oraz w aktualizacjach Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 i SUSE 16. Jeśli administrujesz serwerem Linux — sprawdź `uname -r` i zaplanuj reboot.

## Ciekawostka dnia: 3 sekundy nagrania głosu wystarczą, by Cię sklonować

Według raportów branżowych z 2026 roku, **klonowanie głosu osiągnęło "próg nieodróżnialności"** — średnio słuchacz nie potrafi już rozróżnić nagrania prawdziwego od wygenerowanego przez AI. Co gorsza:

- **Wystarczy 3 sekundy nagrania** głosu (np. z Twojego TikToka, Reels, podcastu, voicemaila), żeby algorytm sklonował go na tyle dobrze, by oszukać rodzinę.

- **Ataki vishing wzrosły o 442% w 2025 roku** — głównie dzięki AI.

- **Średnia skuteczność oszustwa głosowego skoczyła z 12% w 2024 roku do 34% w 2026** — co trzecia rozmowa kończy się sukcesem dla oszusta.

- Globalne straty z fraudu opartego na AI mają sięgnąć **40 mld $ do 2027 roku** (z 12,3 mld $ w 2023).

- FBI raportuje, że samych amerykańskich seniorów oszustwa z klonowanym głosem kosztowały **2,3 mld $ w 2026 roku**.

To dlatego rodzinne **"hasło bezpieczeństwa"** (np. "bursztyn", "korkociąg", "pchełka") — które ustaliliśmy w naszym wpisie z 30 kwietnia — przestaje być paranoją, a zaczyna być higieną.

## Praktyczna porada: jak sprawdzić poziom poprawek zabezpieczeń w Androidzie i co zrobić, jeśli producent o Tobie zapomniał

Krytyczna luka zero-click w Androidzie z dzisiejszej wiadomości #1 jest najlepszym pretekstem, żeby sprawdzić, czy Twój telefon w ogóle dostaje aktualizacje. Wielu Polaków nie wie, że ich smartfon nie był aktualizowany od **dwóch–trzech lat** — a to oznacza otwarte drzwi dla każdej publicznie znanej luki. Oto **5 kroków**:

**Krok 1. Sprawdź poziom poprawek zabezpieczeń**

Wejdź w **Ustawienia → Bezpieczeństwo i prywatność → Aktualizacja systemu → Aktualizacja zabezpieczeń systemu Android** (na starszych telefonach: **Ustawienia → Informacje o telefonie → Wersja Androida → "Poziom poprawek zabezpieczeń"**). Powinieneś zobaczyć datę **2026-05-01 lub późniejszą**. Jeśli widzisz datę sprzed kilku miesięcy lub starszą — masz problem.

**Krok 2. Wymuś sprawdzenie aktualizacji**

**Ustawienia → System → Aktualizacja systemu → "Sprawdź dostępność aktualizacji"**. Bądź podłączony do Wi-Fi i ładowarki — niektóre paczki ważą 1–2 GB. Po instalacji telefon zrestartuje się, w tle dokończy aktualizacja systemu plików, i wróci do daty patcha sprzed instalacji — to normalne, na pierwszym uruchomieniu data się przeskoczy.

**Krok 3. Sprawdź, czy Twój telefon w ogóle ma jeszcze wsparcie**

Wsparcie producentów (stan na 2026):

- **Google Pixel 6, 7, 8** — minimum 5 lat aktualizacji, **Pixel 9 i 10** — 7 lat;

- **Samsung Galaxy S22 i nowsze** — 7 lat (deklaracja ze stycznia 2024);

- **Xiaomi/Redmi/POCO, OPPO, Realme** — 4 lata aktualizacji bezpieczeństwa dla flagowców 2024+;

- **Huawei** — bez Google Mobile Services od 2019, własny EMUI/HarmonyOS;

- **Tańsze modele sprzed 2022 roku** — najczęściej **już bez wsparcia**.

**Krok 4. Ogranicz powierzchnię ataku, jeśli nie możesz aktualizować**

Skoro CVE-2026-0073 działa **proksymalnie** (przez Wi-Fi):

- **nie łącz się z otwartymi Wi-Fi** (hotele, lotniska, McDonald's) — używaj LTE/5G lub VPN;

- **wyłącz USB debugging**: Ustawienia → Opcje programisty → "Debugowanie USB" → off (jeśli nie widzisz "Opcji programisty", to znaczy, że są wyłączone — i dobrze);

- **włącz prywatny adres MAC dla każdej sieci Wi-Fi**: Ustawienia → Wi-Fi → kliknij sieć → "Prywatność" → "Użyj prywatnego adresu MAC";

- **wyłącz Bluetooth, gdy z niego nie korzystasz** (parowanie też bywa wektorem).

**Krok 5. Rozważ zmianę telefonu lub niestandardowy ROM**

Jeśli masz Pixela starszego niż 6, możesz zainstalować **GrapheneOS** lub **LineageOS** — społecznościowe wersje Androida z dłuższym wsparciem niż Google. To wymaga kilku godzin czasu i odblokowania bootloadera (wpływa na gwarancję), ale **dla zaawansowanego użytkownika to najtańszy sposób na 2 dodatkowe lata bezpieczeństwa**. Dla mniej technicznych: jeśli telefon ma 4+ lata, **plan jego wymiany w 2026 jest po prostu rozsądny**.

> **Bonus do druku na lodówkę:** "**MAJOWY PATCH ANDROIDA — sprawdź teraz: Ustawienia → Bezpieczeństwo → Poziom poprawek. Powinno być 2026-05-01 lub nowsze.**"

Aktualizowanie telefonu to nie kwestia "fanaberii". Jak pokazuje dzisiejsza luka — **otwarte Wi-Fi w hotelu może wystarczyć, żeby ktoś Ci wszedł na telefon bez kliknięcia**. 5 minut sprawdzenia teraz może zaoszczędzić Ci później miesięcy walki o tożsamość.

# Źródła

- [Critical Android Zero-Click Vulnerability Grants Attackers Remote Shell Access (CyberPress)](https://cyberpress.org/android-zero-click-vulnerability/)

- [Android Security Bulletin — May 2026 (Android Open Source Project)](https://source.android.com/docs/security/bulletin/2026/2026-05-01)

- [Critical Android Zero-Click Vulnerability Grants Remote Shell Access (CybersecurityNews)](https://cybersecuritynews.com/android-zero-click-vulnerability/)

- [Microsoft releases emergency security updates for critical ASP.NET flaw (BleepingComputer)](https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-security-updates-for-critical-aspnet-flaw/)

- [.NET 10.0.7 Out-of-Band Security Update (.NET Blog)](https://devblogs.microsoft.com/dotnet/dotnet-10-0-7-oob-security-update/)

- [CVE-2026-40372 Detail (NVD)](https://nvd.nist.gov/vuln/detail/CVE-2026-40372)

- [Microsoft Patches Critical ASP.NET Core CVE-2026-40372 Privilege Escalation Bug (The Hacker News)](https://thehackernews.com/2026/04/microsoft-patches-critical-aspnet-core.html)

- [Ransomware Group Everest Hits Fiserv (HookPhish)](https://www.hookphish.com/blog/ransomware-group-everest-hits-fiserv/)

- [Everest Ransomware Victim: Fiserv (RedPacket Security)](https://www.redpacketsecurity.com/everest-ransomware-victim-fiserv/)

- [Pentagon Signs AI Deals With OpenAI, Google, Microsoft, Nvidia, and Others, Cutting Out Anthropic (gHacks)](https://www.ghacks.net/2026/05/04/pentagon-signs-ai-deals-with-openai-google-microsoft-nvidia-and-others-cutting-out-anthropic/)

- [Pentagon strikes deals with 8 Big Tech companies after shunning Anthropic (CNN Business)](https://www.cnn.com/2026/05/01/tech/pentagon-ai-anthropic)

- [Anthropic and OpenAI are both launching joint ventures for enterprise AI services (TechCrunch)](https://techcrunch.com/2026/05/04/anthropic-and-openai-are-both-launching-joint-ventures-for-enterprise-ai-services/)

- [CISA Adds Actively Exploited Linux Root Access Bug CVE-2026-31431 to KEV (The Hacker News)](https://thehackernews.com/2026/05/cisa-adds-actively-exploited-linux-root.html)

- [CVE-2026-31431: Copy Fail vulnerability enables Linux root privilege escalation (Microsoft Security Blog)](https://www.microsoft.com/en-us/security/blog/2026/05/01/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation/)

- [CISA Adds One Known Exploited Vulnerability to Catalog](https://www.cisa.gov/news-events/alerts/2026/05/01/cisa-adds-one-known-exploited-vulnerability-catalog)

- [AI Voice Cloning Fraud Statistics 2026 (SQ Magazine)](https://sqmagazine.co.uk/ai-voice-cloning-fraud-statistics/)

- [Vishing Statistics 2026: 442% More Incidents, $40B In Losses (Programs.com)](https://programs.com/resources/voice-phishing-stats/)

- [The Anatomy of a Deepfake Voice Phishing Attack (Group-IB Blog)](https://www.group-ib.com/blog/voice-deepfake-scams/)