Poslední aktualizace Samsung telefonů je nezbytná, neodkládejte ji. Záplatuje skoro 40 bezpečnostních děr

Květnový bezpečnostní balík pro telefony Galaxy opravuje 39 slabin, včetně kritických chyb, která umožňuje vzdálené spuštění kódu bez kliknutí uživatele.

Zdroj fotografie: Pexels

Samsung 6. května 2026 zveřejnil měsíční bezpečnostní bulletin SMR-KVĚTEN-2026. Číslo 39 není marketingová nadsázka: skládá se z 29 oprav z androidové vrstvy dodaných Googlem a 10 položek specifických pro nadstavbu Samsungu. Mezi nimi je jedna, která vyčnívá nad ostatní, kritická zranitelnost v systémové komponentě adbd označená jako CVE-2026-0073. Útočník v dosahu zařízení ji může zneužít ke spuštění vlastního kódu, aniž by majitel telefonu cokoliv odsouhlasil nebo vůbec zaregistroval. Právě tahle kombinace (vzdálený útok, nulová interakce) dělá z květnové záplaty něco, co nemá smysl odkládat na příští týden.

Co přesně balíček opravuje

Androidová část bulletinu obsahuje dvě kritické a 27 vysoce závažných položek. Kritická CVE-2026-0073 cílí komponentu adbd a podle Google Android Security Bulletinu umožňuje vzdálené nebo proximální spuštění kódu bez reakce uživatele. Druhá kritická chyba se rovněž týká systémové vrstvy Androidu.

Samsung k tomu přidává vlastních 10 SVE položek. Ty pokrývají nadstavbové komponenty, které na telefonech Galaxy používá prakticky každý:

• LocationManager (CVE-2026-21016) – únik citlivých informací o poloze
• SveService (CVE-2026-21018) – spuštění kódu privilegovaným lokálním útočníkem
• OmaCP (CVE-2026-21020) – spuštění privilegovaných funkcí
• Rutiny (CVE-2026-21021, CVE-2026-21022) – přístup k citlivým datům a spuštění privilegované aktivity při fyzickém přístupu k telefonu
• FactoryCamera (CVE-2026-21015) – přístup k unikátnímu identifikátoru zařízení

Tři další opravy Samsungu firma zatím veřejně podrobně nerozepsala; uvádí pouze, že byly nahlášeny soukromě bezpečnostními výzkumníky. Žádná z květnových chyb podle obou bulletinů nebyla v době vydání potvrzeně zneužívána v praxi. To ale neznamená, že se to nemůže změnit: po zveřejnění detailů CVE mají útočníci vodítko, kam mířit.

Je 39 děr hodně? Srovnání s předchozími měsíci

Číslo 39 zní dramaticky, ale v kontextu měsíčních balíků Samsungu nejde o extrém. Dubnový bulletin 2026 obsahoval 33 položek Google a 9 Samsung SVE, tedy minimálně 42 oprav. Březnový byl ještě objemnější: 59 Google CVE a 8 Samsung SVE, dohromady 67. Květen je tedy spíš průměrný co do počtu.

Co se odlišuje, je závažnost nejkritičtější chyby. Kritická zranitelnost se vzdáleným spuštěním kódu bez interakce uživatele se v měsíčních bulletinech neobjevuje každý měsíc. Právě proto má smysl květnovou aktualizaci nepřeskočit.

Pro kontext rychlosti: Google zveřejnil svůj bulletin Androidu 4. května, telefony Pixel dostaly OTA aktualizaci následující den. Samsungův bulletin vyšel 6. května a distribuce pak běžela po modelech a regionech. Apple nemá měsíční systém záplat srovnatelný s Androidem; jeho velká květnová bezpečnostní sada vyšla 11. května.

Kterých telefonů se to týká a kdy to dorazí do Česka

Podle oficiálního Samsung Security Scope patří do měsíčního režimu aktualizací řady Galaxy S26, S25, S24, S23, většina novějších Z Fold a Z Flip a vybrané modely řady A (A54, A55, A56, A57). Ve čtvrtletním režimu jsou starší modely jako Galaxy S22, S21 FE nebo firemní Galaxy A53 5G.

Přesné datum pro Česko Samsung veřejně neuvádí. Samsung CZ uvádí, že aktualizace jsou distribuovány postupně a mohou mít výrazné zpoždění podle distribuce zařízení, prodejce nebo aktivace dat. Podle zpráv SamMobile začal evropský rollout květnového patche u Galaxy S26 kolem 18. května, u Galaxy A56 den poté a u Galaxy S25 kolem 20. května. Část modelů přitom dostává bezpečnostní záplatu jako součást většího balíku One UI 8.5, jehož distribuci Samsung oficiálně odstartoval 6. května v Koreji.

Jak aktualizaci nainstalovat co nejdříve

Postup je přímočarý, ale pár kroků zvyšuje šanci, že aktualizaci uvidíte dřív:

• Připojte telefon k Wi-Fi a ověřte, že máte alespoň 50 % baterie.
• Otevřete Nastavení → Aktualizace softwaru → Stáhnout a nainstalovat.
• Pokud update ještě není vidět, zkuste cestu přes Zabezpečení a soukromí → Aktualizace → Aktualizace zabezpečení (u modelů, které tuto sekci nabízejí).
• Alternativa: Připojte telefon k počítači a použijte Smart Switch. Samsung CZ uvádí, že touto cestou může být aktualizace dostupná i výrazně dříve než přes OTA přímo v telefonu.

Pokud máte zapnuté automatické stahování přes Wi-Fi, telefon by měl aktualizaci stáhnout sám a oznámit vám to. Spoléhat se ale čistě na automatiku u bezpečnostní záplaty tohoto kalibru není ideální; ruční kontrola zabere dvacet sekund.

Co riskujete, když počkáte

Bez květnového patche zůstává telefon na starším patchi s otevřenou kritickou androidovou chybou a několika cestami k citlivým datům a privilegovaným funkcím v komponentách Samsungu. U běžného uživatele, který instaluje aplikace výhradně z Play Storu a Galaxy Storu, to nemusí znamenat incident zítra ráno. Riziko ale roste s každým dnem odkladu, zvlášť pokud instalujete APK z jiných zdrojů, využíváte telefon ve firemním prostředí nebo ho pravidelně odkládáte na místech, kde k němu mají přístup cizí osoby.

Nejde o paniku. Jde o typ údržby, kterou u telefonu plného osobních dat, fotek a přístupů k bankovnictví prostě nemá smysl odkládat na neurčito.