Project Zeroは、Pixel 9スマートフォンを標的とする高度なゼロクリック攻撃チェーンを公開し、最新のAndroidセキュリティ防御に対しても極めて高度な攻撃が依然として成立し得ることを示しました。
2026年1月に公開されたこの研究は、脅威アクターがユーザーの操作なしに、SMSおよびRCSメッセージの音声添付ファイルを通じてデバイスを侵害し得ることを示しています。
CVE-2025-54957は、Dolby Digital Plus音声デコーダに影響する整数オーバーフロー脆弱性であり、現在使用されている大半のAndroidデバイスのゼロクリック攻撃面に存在します。
この脆弱性は、デコーダがExtensible Metadata Delivery Format(EMDF)ペイロードを処理する方法の欠陥に起因しており、不十分な境界チェックにより攻撃者が制御されたバッファオーバーランを引き起こせます。
Android、iOS、Windows、およびメディアストリーミングデバイスに統合されているDolby Unified Decoderは、Dolby Digital(AC-3)およびDolby Digital Plus(EAC-3)形式の音声を処理します。Pixel 9では、脆弱なコンポーネントは /vendor/lib64/libcodec2_soft_ddpdec.so に存在します。
デコーダは、ユーザーが開く前にGoogleメッセージ経由で受信した音声添付ファイルを自動的に処理するため、AIによる文字起こし機能によって導入された拡大されたゼロクリック攻撃面が生まれます。
Project Zeroの研究者は、メッセージ添付として配信される3つの特別に細工されたMP4ファイルを必要とする概念実証(PoC)エクスプロイトを開発しました。この攻撃はデコーダのメモリ割り当てシステムを操作し、特に「evo heap」構造を標的にして、Androidのscudoアロケータの弱点を悪用します。
メモリ上書きを慎重に組み立て、部分的なASLRバイパス手法を活用することで、このエクスプロイトはmediacodecコンテキスト内での任意コード実行を達成します。
研究者は、WRITE DYNAMIC、WRITE STATIC、WRITE DYNAMIC FASTといった高度なプリミティブを用いてメモリ領域を操作し、最終的に静的バッファ内の関数ポインタを上書きしてプログラムカウンタの制御を奪いました。
その後、このエクスプロイトはCVE-2025-36934へと連鎖し、mediacodecサンドボックスからカーネルレベルへ権限を昇格させ、デバイス全体の侵害を完了します。
アドレス空間配置のランダム化(ASLR)の推測要件により、このエクスプロイトの成功率は約256回に1回で、標的デバイスの侵害には平均6分を要します。
これは高度な脅威アクターにとって実用的な攻撃時間枠である一方、その複雑さはAndroidのセキュリティアーキテクチャの堅牢性と、熟練した攻撃者の執拗さの双方を浮き彫りにしています。
Googleは2026年1月5日時点で両方の脆弱性を修正しました。Project Zeroの研究は、複数のAndroid緩和策が有効であったこと、とりわけASLRの実装が効果的だったことを強調する一方で、重大なギャップも明らかになったとしています。
Pixel 9には、Samsung S24のような競合デバイスに存在するseccompポリシーが著しく欠けており、さらに /proc/self/mem へのアクセス可能性が攻撃者にコード実行への近道を提供していました。
iOSおよびmacOSでは、 -fbounds-safety フラグでコンパイルされたDolbyデコーダは、この特定の悪用手法に対して免疫があるようです。
この公開は、現実世界のゼロクリック攻撃手法について防御側に情報提供することを目的としており、モバイルプラットフォームにおけるメディアデコーダおよびドライバの脆弱性を迅速にパッチ適用する重要性が引き続き高いことを強調しています。
Project Zeroは、権限昇格手法および防御上の推奨事項を扱う後続のブログ記事で、追加の技術的詳細を公開する予定です。
翻訳元: https://cyberpress.org/project-zero-zero-click-exploit-pixel-9/