SyncframeがDolby Unified Decoderに突入。ドカーン。mediacodecコンテキストでの任意コード実行、Pixel 9が乗っ取られる——ゼロクリックで。
Googleメッセージは、RCSオーディオ添付ファイルを自動デコードするようになった。文字起こしのための「機能」だが、Android端末のゼロクリック攻撃の表面積を肥大化させる。メーカーはこのDolbyの塊を無造作に、Pixel 9ではlibcodec2_soft_ddpdec.soに静的リンクして出荷している。Project Zeroのチーム――Maddie Stone、Ivan Fratric、Seth Jenkins――は単にバグを見つけたのではない。それらを繋ぎ合わせて完全なエクスプロイトを構築し、懐疑論者を黙らせたのだ。
Pixel 9のDolby悪夢:CVE-2025-54957
DD+ビットストリーム。Syncframes。オーディオブロック。無邪気な響きだろう?違う。仕様では、デコーダーはブロックごとに最大0x1FFバイトをスキップバッファにコピーできる――EMDFフォーマット、’X8’で同期。しかし、そのバッファを巧みに細工すれば、variable_bitsの解析がおかしくなり、オーバーフローや好きなようにカオスを引き起こす準備が整う。
これを破滅に導いた仕様の断片がこれだ:
Syntax Number of bits skiple 1 if(skiple) skipl 9 skipfld 9 * 8 }
あのskipfld?直接ビットストリームをバッファに吸い込む。チェックなし。その後EMDF同期ワードの探索が続くが、もし流れを制御できれば――ゲームオーバーだ。
Project Zeroはこれを利用して、サンドボックス化されたmediacodecプロセス内でのコード実行を達成した。理論ではない。現実だ。そして2026年1月5日に修正された――古いパッチのままのデバイスには手遅れだ。
短い段落は私を飽きさせる。これは濃厚だ:UDCは、シンボルがなく、その内部構造を隠したバイナリブロブとしてOEMに出荷される。Androidの自動デコード推進――AI文字起こし、検索――は、SMSのオーディオクリップのすべてが、開く前にそれをトリガーすることを意味する。CVE-2025-36934(Pixel 9カーネルエスカレーション)のようなドライバーバグと組み合わせれば、メッセージからroot権限が得られる。メーカーは悪用可能性を疑問視した。Project Zeroは証拠で答えた。
なぜAndroidのゼロクリック表面積は増え続けるのか?
自動機能は賢く聞こえる。スマートにするためにメディアを静かにデコードする。だが、それは攻撃者にとってのごちそうだ。SamsungのMonkey’s Audioが最初に落ちた(CVE-2025-49415)。今やDolbyがあらゆる場所――Android、iOS、Windows。Pixelがここで最も痛い目に遭う。
一撃:サンドボックス化?もちろん。有用?とんでもなく――カーネルへのピボットにはだ。
2015年のStagefrightを覚えているか?MMS動画がNexusデバイスをリモートで乗っ取った。これはさらに大きく響く――RCSの普及、AIの誇大広告がリスクを増幅させる。Androidの緩和策――サンドボックス化、検証済みブート――は機能するが、メディアデコーダーとドライバーが穴を開ける。Project Zeroのチェーンはそれらを無慈悲にテストする。
「この研究が、これらの攻撃が現実世界でどのように機能するか、そのような攻撃を防ぐことに関してAndroidのセキュリティ機能の強みと弱み、そしてモバイルデバイスにおけるメディアおよびドライバーの脆弱性の修正の重要性を、防御者がよりよく理解するのに役立つことを願っています。」
投稿からそのまま引用。高潔だ。しかしGoogleのPR戦略は?発見から数ヶ月後にパッチがドロップ。ユーザーはOTAルーレットを待つ。
攻撃者は本当にこれをカーネルまで繋げられるのか?
パート2では、mediacodecサンドボックスからのドライバーリークであるCVE-2025-36934を介したカーネルジャンプが約束される。サンドボックスエスケープは神話ではない。それは数学だ。PixelはForcedEntry以降強化されたが、ドライバーは遅れている。
ユニークな視点:これはNSOの初期チェーン、Lockdown緩和策以前のそれに似ている。当時、WhatsApp通話がデコーダーをトリガーしていた。今日、メッセージがRCSオーディオを処理する。予測――全体的な修正がなければ、AIメディア解析がiMessageにも広がるにつれて、2027年までにゼロクリックRCSエクスプロイトは3倍に急増するだろう。
企業の誇大広告はこれらを「エッジケース」と呼ぶ。 bull。毎日数十億がデコードされている。一つの悪いクリップで、電話はpwnedだ。
深く掘り下げよう。variable_bitsの擬似コード:
variable_bits (n_bits) {
value = 0;
do {
value += read n_bits
read_more 1
if (read_more) {
value <<= n_bits;
value += (1<<n_bits);
}
}
while (read_more);
return value;
}
ループが制御不能?オーバーフロー天国。EMDFコンテナは、さらにvariable_bitsを介したバージョン、key_id拡張機能でペイロードをチェーンする。デッキに積んで、パーサーをぶっ壊せ。
Pixel 9では、UDCはvendor/lib64にネストしている。サンドボックス化されている、そうだ。しかし隣接するドライバーは?Seth Jenkinsがその隙間を見つけた。
メーカーの否定は崩壊する
質問が飛び交った:「悪用可能か?一般人でもゼロクリックで?実行後有用か?」Project Zeroはチェーンを構築した。Mediacodecコード実行はピボット――データ流出、キーロギング、エスカレーション。プラットフォームはデコーダーを強化し、ドライバーを分離し、自動デコードのオプトインを殺さねばならない。
恐怖の中のユーモア:Dolby Atmosは没入感を約束する。ここでは、それが攻撃者を没入させる。
パート3の教訓が迫る。緩和策の批判を予想せよ――Androidのブロブ依存が痛い。
🧬 関連インサイト
- 続きを読む: あなたのペンテストボットが沈黙した理由:セキュリティを殺す隠れたギャップ
- 続きを読む: GoogleのGmail「侵害」パニック:25億ユーザーは安全だが、フィッシングは依然猛威を振るう
よくある質問
CVE-2025-54957とは何ですか?
Dolby UDCのスキップバッファ解析におけるバッファ処理の不備により、DD+オーディオデコード時にコード実行につながる。
私のPixel 9はゼロクリックDolbyエクスプロイトから安全ですか?
2026年1月以降のパッチが適用されているか確認してください――設定 > システム > システムアップデート。未パッチであれば、脆弱です。
Androidメッセージでのゼロクリック攻撃はどのように機能しますか?
RCSオーディオは文字起こしのために自動デコードされ、ユーザーが開く前に脆弱性に到達する。
