Ihned aktualizujte a neriskujte. Samsung tiše opravil 47 bezpečnostních děr v levnějších telefonech

Samsung začal v dubnu doručovat dubnový bezpečnostní patch na pět modelů řady Galaxy A. Balík řeší 47 zranitelností, od kritických chyb v Androidu po specifické problémy.

Zdroj fotografie: FreeRangeStock

Číslo 47 zní děsivě, ale zaslouží si rozklad. Nejde o 47 děr, které Samsung sám vytvořil a teď potichu zametá. Je to souhrnný dubnový bezpečnostní balík složený ze tří vrstev: ty androidí a partnerské opravy od Googlu, záplaty pro čipy Samsung Semiconductor a samsungovské vlastní zranitelnosti evidované pod značkou SVE. Kdo má doma Galaxy A35 5G, A26 5G, A25 5G, A07 5G nebo A07 4G/LTE, měl by teď otevřít nastavení telefonu. Aktualizace už čeká.

Co přesně se opravuje a jak moc je to vážné

Rozpad 47 položek vypadá takto: 33 pochází z Android Security Bulletin pro duben 2026, z toho 14 je označených jako kritické, 18 jako vysoké závažnosti a jedna střední. Další 4 položky míří na čipy Samsung Semiconductor. Zbývajících 10 jsou samsungovské SVE, tedy chyby v proprietárním softwaru telefonů Galaxy. Mezi veřejně rozepsanými Samsung SVE najdeme:

• Obcházení Knox Guard přes aplikaci Device Care, kdy útočník s fyzickým přístupem mohl obejít firemní ochranu zařízení.
• Únik citlivých dat přes S Share, který vyžadoval útočníka v bezprostřední blízkosti (tzv. adjacent attack).
• Vytváření souborů se systémovým oprávněním přes AODManager, zneužitelné privilegovaným lokálním útočníkem.
• Obcházení App Pinning v Recents, které umožňovalo opustit připnutou aplikaci bez PIN kódu.
• Bluetooth problém v Maintenance mode, kdy fyzický útočník mohl obejít funkci Extend Unlock.

Kritická položka na straně Androidu, CVE-2026-0049, je chyba ve Frameworku vedoucí k lokálnímu denial-of-service bez potřeby dalších oprávnění a bez jakékoli interakce uživatele. U zbývajících kritických CVE Samsung v bulletinu zveřejňuje identifikátory, ne detailní scénáře zneužití, přičemž některé položky zatím výslovně označuje jako dosud nezveřejnitelné.

Důležitý kontext: veřejně popsané dubnové scénáře útoku míří převážně na lokální, fyzický nebo blízký přístup k zařízení. Nejde o situaci typu „klikneš na odkaz a přijdeš o telefon“. Praktické riziko roste hlavně při ztrátě telefonu, při servisu, půjčení nebo při instalaci škodlivé aplikace z neověřeného zdroje.

Které modely a verze firmwaru se vás týkají

Podle rollout trackingu webu SamMobile z 28. dubna 2026 dubnový patch dorazil na tyto modely a buildy:

Model	Build (Evropa / globální)
Galaxy A35 5G	A356BXXSACZD5 / A356EXXS9CZD5
Galaxy A26 5G	A266BXXS9BZD4
Galaxy A25 5G	A256EXXSCDZD8
Galaxy A07 5G	A076MXXS4AZD2
Galaxy A07 4G/LTE	A075MUBS5BZD2

V Česku jsou z těchto pěti modelů prokazatelně rozšířené minimálně tři: Galaxy A25 5G šel do českého prodeje počátkem ledna 2024, A35 5G měl české uvedení v březnu téhož roku a A26 5G se začal dodávat od 28. března 2025, kdy ho Samsung vystavil v 615 prodejnách po celé republice. U modelů A07 se lokální česká dostupnost z oficiálních zdrojů potvrdit nepodařilo. Samsung měl v březnu 2026 na českém trhu mobilních zařízení podíl 27,4 %, přesný počet uživatelů konkrétních modelů ale veřejně nepublikuje.

Termín doručení se liší podle regionu a operátora. Nebrandované evropské kusy v ČR mohou patřit mezi první, operátorské varianty ale mohou dorazit později.

Proč o tom nevíte, a proč to není spiknutí

Samsung nezveřejnil tiskovou zprávu ke každému levnějšímu modelu zvlášť. Oficiální bulletin SMR-APR-2026 publikoval už 7. dubna 2026, ale na centrálním bezpečnostním webu, kam běžný uživatel Galaxy A25 nezabloudí. Pak spustil postupný OTA rollout: nejdřív vlajkové lodě, pak modely FE (23. dubna v Jižní Koreji), nakonec řada A.

Tenhle postup má logiku. Samsung funguje v režimu odpovědného zveřejňování: chyba se nahlásí, analyzuje, opraví a teprve potom se publikují detaily. Cílem je, aby záplata dorazila dřív, než útočník získá návod. Výsledkem ale je, že uživatel o patchi zjistí až ze systémové notifikace nebo z článku jako je tento.

Všech pět dotčených modelů je v oficiálním Samsung Security Scope vedeno ve čtvrtletním cyklu bezpečnostních aktualizací. Délka podpory se liší:

• A35 5G – až 4 generace Android/One UI, 5 let bezpečnostních záplat
• A26 5G – až 6 generací, 6 let záplat
• A25 5G – 4 roky systémových aktualizací, 5 let záplat
• A07 5G – až 6 generací OS, 6 let záplat
• A07 4G/LTE – délka podpory se z otevřených primárních zdrojů nepodařila ověřit

Jde přitom čistě o bezpečnostní update, ne o rollout One UI 8.5. U Galaxy A07 5G navíc není veřejně potvrzený plán přechodu na One UI 8.5, přestože oficiální specifikace slibují až šest generací OS upgradů.

Jak aktualizovat, a proč to neodkládat

Postup je jednoduchý: Nastavení → Aktualizace softwaru → Stáhnout a nainstalovat. Během instalace telefon nelze používat, některé operátorské varianty mohou vyžadovat Wi-Fi. Alternativou je připojení přes Samsung Smart Switch na počítači.

Pokud aktualizaci odložíte, telefon zůstane na zranitelné verzi firmwaru. Veřejné zdroje neuvádějí, že by Samsung nebo Google u této dubnové sady hlásily aktivní masové zneužívání. Ale to je slabá útěcha, neznamená to, že k němu nedochází, jen že není veřejně zdokumentované. Podle nás je nejpraktičtější argument prostý: neopravený telefon je zbytečně slabší při každém scénáři, kdy ho nemáte plně pod kontrolou. Ztráta v tramvaji, předání do servisu, instalace aplikace od kamaráda. Knox Guard, App Pinning, Extend Unlock, to všechno jsou pojistky, na které se spoléháte, aniž o nich přemýšlíte. Dubnový patch zajistí, že fungují tak, jak mají.

Čtrnáct kritických CVE, deset samsungovských zranitelností a pár minut na Wi-Fi. Poměr námahy a přínosu je jednoznačný.