- 26,779
- 46
- 8 Ноя 2022
Аудиофайл сам запускает код и ведёт прямо к root через дыру в драйвере.
Project Zero показала цепочку атаки на Pixel 10, где для полного захвата устройства хватило двух уязвимостей и вообще никакого участия со стороны владельца. Исследователи Google взяли уже известную ошибку в декодере Dolby, адаптировали её под новый смартфон, а затем нашли свежую дыру в драйвере видеопроцессора Tensor G5. В результате вредоносный медиаконтент мог запустить код удалённо, а второй баг открывал путь к правам root.
Первым звеном цепочки стала уязвимость CVE-2025-54957 в Dolby Unified Decoder. Ранее Project Zero использовала её в исследовании Pixel 9: Android автоматически обрабатывает некоторые аудиофайлы, голосовые сообщения и вложения, поэтому специально подготовленный поток Dolby Digital Plus мог сработать без нажатия, открытия файла или другого действия пользователя. Dolby закрыла эту проблему, а в Android исправление попало в январские обновления 2026 года.
Для Pixel 10 исследователям не пришлось заново собирать вход в систему. Большая часть работы свелась к пересчёту адресов в обновлённой библиотеке Dolby. Сложность добавила защита RET PAC , то есть проверка адреса возврата при выполнении кода. На Pixel 9 эксплойт использовал перезапись функции __stack_chk_fail, но в новой сборке привычная цель исчезла. После нескольких попыток команда нашла другой вариант: функцию dap_cpdp_init, которая вызывается при инициализации декодера и дальше не мешает нормальной работе процесса. Обновлённый Dolby-эксплойт срабатывает только на устройствах без свежих патчей, с уровнем обновления безопасности за декабрь 2025 года или раньше.
Второй этап потребовал уже нового бага. На Pixel 9 для повышения привилегий использовался уязвимый драйвер BigWave, но в Pixel 10 его нет. Вместо этого исследователи обратили внимание на новый драйвер /dev/vpu, который отвечает за взаимодействие с видеопроцессором Chips&Media Wave677DV в чипе Tensor G5. По комментариям в открытом коде Project Zero установила, что драйвер разрабатывала и поддерживала та же команда, которая раньше работала над BigWave.
Поверхностного аудита хватило, чтобы найти серьёзную ошибку в обработке mmap. Этот механизм позволяет процессу отобразить участок памяти устройства в своё адресное пространство. Драйвер VPU должен был давать доступ только к области регистров видеопроцессора, но не проверял размер запрошенного отображения при вызове remap_pfn_range. Если процесс просил область больше положенной, драйвер позволял отобразить физическую память дальше границ VPU.
Для атакующего это означает прямой доступ к большим участкам физической памяти, включая память ядра. На Pixel ядро Android загружается по предсказуемому физическому адресу, поэтому искать его вслепую не нужно: достаточно знать смещение относительно области VPU. Project Zero подчёркивает, что произвольное чтение и запись в память ядра удалось получить всего несколькими строками кода, а полноценный эксплойт занял меньше дня.
Связка двух ошибок даёт понятную последовательность атаки. Сначала специально подготовленный медиапоток запускает код через Dolby-декодер без участия пользователя. Затем код использует дыру в /dev/vpu, получает доступ к памяти ядра и повышает привилегии до root. После этого злоумышленник может отключать защитные механизмы, закрепляться в системе, читать данные приложений и менять поведение устройства на низком уровне.
В реальной атаке первым носителем мог бы быть вредоносный аудио- или медиаконтент, который Android обработал бы автоматически. Именно поэтому цепочку называют zero-click: владелец смартфона не должен нажимать на ссылку, устанавливать приложение или подтверждать запуск файла. Достаточно попасть в путь обработки, где уязвимый компонент сам разбирает входящие данные.
Баг в VPU Project Zero передала Google 24 ноября 2025 года. Android Vulnerability Reward Program оценила проблему как уязвимость высокой серьёзности. Исправление вышло через 71 день в февральском бюллетене безопасности Pixel за 2026 год. Для драйверных ошибок Android это быстрый срок: в похожих случаях патчи раньше нередко выходили дольше 90 дней.
Исследователи отдельно отметили положительный сдвиг в реакции Google. Ошибка с тем же уровнем влияния в BigWave сначала получила более мягкую оценку, а новый баг в VPU сразу признали серьёзным. Но сама находка оставляет неприятный вопрос к разработке низкоуровневых компонентов Android. Через пять месяцев после истории с BigWave в новом драйвере той же команды нашли простую ошибку, заметную даже при коротком просмотре кода.
Работа Project Zero показывает, почему драйверы остаются одним из самых опасных участков мобильной безопасности. Они связывают Android с аппаратными блоками, работают близко к ядру и часто получают доступ к памяти, который обычным приложениям недоступен. Ошибка в проверке размера, границы или адреса здесь превращается не в падение отдельного процесса, а в возможность управлять системой целиком.
Для пользователей главный вывод простой: Pixel 10 и другие Android -устройства нужно держать на свежих обновлениях безопасности. Цепочка, описанная Project Zero, рассчитана на непатченные устройства и закрыта в актуальных исправлениях. Для производителей вывод жёстче: быстрый патч снижает ущерб, но не заменяет нормальный аудит драйверов до выхода устройства на рынок.
Project Zero показала цепочку атаки на Pixel 10, где для полного захвата устройства хватило двух уязвимостей и вообще никакого участия со стороны владельца. Исследователи Google взяли уже известную ошибку в декодере Dolby, адаптировали её под новый смартфон, а затем нашли свежую дыру в драйвере видеопроцессора Tensor G5. В результате вредоносный медиаконтент мог запустить код удалённо, а второй баг открывал путь к правам root.
Первым звеном цепочки стала уязвимость CVE-2025-54957 в Dolby Unified Decoder. Ранее Project Zero использовала её в исследовании Pixel 9: Android автоматически обрабатывает некоторые аудиофайлы, голосовые сообщения и вложения, поэтому специально подготовленный поток Dolby Digital Plus мог сработать без нажатия, открытия файла или другого действия пользователя. Dolby закрыла эту проблему, а в Android исправление попало в январские обновления 2026 года.
Для Pixel 10 исследователям не пришлось заново собирать вход в систему. Большая часть работы свелась к пересчёту адресов в обновлённой библиотеке Dolby. Сложность добавила защита RET PAC , то есть проверка адреса возврата при выполнении кода. На Pixel 9 эксплойт использовал перезапись функции __stack_chk_fail, но в новой сборке привычная цель исчезла. После нескольких попыток команда нашла другой вариант: функцию dap_cpdp_init, которая вызывается при инициализации декодера и дальше не мешает нормальной работе процесса. Обновлённый Dolby-эксплойт срабатывает только на устройствах без свежих патчей, с уровнем обновления безопасности за декабрь 2025 года или раньше.
Второй этап потребовал уже нового бага. На Pixel 9 для повышения привилегий использовался уязвимый драйвер BigWave, но в Pixel 10 его нет. Вместо этого исследователи обратили внимание на новый драйвер /dev/vpu, который отвечает за взаимодействие с видеопроцессором Chips&Media Wave677DV в чипе Tensor G5. По комментариям в открытом коде Project Zero установила, что драйвер разрабатывала и поддерживала та же команда, которая раньше работала над BigWave.
Поверхностного аудита хватило, чтобы найти серьёзную ошибку в обработке mmap. Этот механизм позволяет процессу отобразить участок памяти устройства в своё адресное пространство. Драйвер VPU должен был давать доступ только к области регистров видеопроцессора, но не проверял размер запрошенного отображения при вызове remap_pfn_range. Если процесс просил область больше положенной, драйвер позволял отобразить физическую память дальше границ VPU.
Для атакующего это означает прямой доступ к большим участкам физической памяти, включая память ядра. На Pixel ядро Android загружается по предсказуемому физическому адресу, поэтому искать его вслепую не нужно: достаточно знать смещение относительно области VPU. Project Zero подчёркивает, что произвольное чтение и запись в память ядра удалось получить всего несколькими строками кода, а полноценный эксплойт занял меньше дня.
Связка двух ошибок даёт понятную последовательность атаки. Сначала специально подготовленный медиапоток запускает код через Dolby-декодер без участия пользователя. Затем код использует дыру в /dev/vpu, получает доступ к памяти ядра и повышает привилегии до root. После этого злоумышленник может отключать защитные механизмы, закрепляться в системе, читать данные приложений и менять поведение устройства на низком уровне.
В реальной атаке первым носителем мог бы быть вредоносный аудио- или медиаконтент, который Android обработал бы автоматически. Именно поэтому цепочку называют zero-click: владелец смартфона не должен нажимать на ссылку, устанавливать приложение или подтверждать запуск файла. Достаточно попасть в путь обработки, где уязвимый компонент сам разбирает входящие данные.
Баг в VPU Project Zero передала Google 24 ноября 2025 года. Android Vulnerability Reward Program оценила проблему как уязвимость высокой серьёзности. Исправление вышло через 71 день в февральском бюллетене безопасности Pixel за 2026 год. Для драйверных ошибок Android это быстрый срок: в похожих случаях патчи раньше нередко выходили дольше 90 дней.
Исследователи отдельно отметили положительный сдвиг в реакции Google. Ошибка с тем же уровнем влияния в BigWave сначала получила более мягкую оценку, а новый баг в VPU сразу признали серьёзным. Но сама находка оставляет неприятный вопрос к разработке низкоуровневых компонентов Android. Через пять месяцев после истории с BigWave в новом драйвере той же команды нашли простую ошибку, заметную даже при коротком просмотре кода.
Работа Project Zero показывает, почему драйверы остаются одним из самых опасных участков мобильной безопасности. Они связывают Android с аппаратными блоками, работают близко к ядру и часто получают доступ к памяти, который обычным приложениям недоступен. Ошибка в проверке размера, границы или адреса здесь превращается не в падение отдельного процесса, а в возможность управлять системой целиком.
Для пользователей главный вывод простой: Pixel 10 и другие Android -устройства нужно держать на свежих обновлениях безопасности. Цепочка, описанная Project Zero, рассчитана на непатченные устройства и закрыта в актуальных исправлениях. Для производителей вывод жёстче: быстрый патч снижает ущерб, но не заменяет нормальный аудит драйверов до выхода устройства на рынок.
- Источник новости
- www.securitylab.ru
