Syncframe, Dolby Unified Decoder’a patlıyor. BAM! Pixel 9’da mediacodec bağlamında rastgele kod yürütme, sıfır tıklama ile cihazı ele geçirmiş durumda.
Google Mesajlar artık gelen RCS ses eklerini otomatik olarak çözümlüyor. Bu ‘özellik’, transkripsiyon için tasarlanmış olsa da, Android telefonlardaki 0-click saldırı yüzeyini devasa ölçüde genişletiyor. Üreticiler bu Dolby bileşenini körü körüne, Pixel 9’da libcodec2_soft_ddpdec.so’ya statik olarak bağlanmış şekilde kullanıyor. Project Zero ekibi – Maddie Stone, Ivan Fratric, Seth Jenkins – sadece hataları bulmakla kalmadı. Şüphecileri yanılttılar ve bunları tam bir açık zincirine dönüştürdüler.
Pixel 9’un Dolby Kabusu: CVE-2025-54957
DD+ bit akışı. Syncframe’ler. Ses blokları. Masum görünüyor değil mi? Yanlış. Standart, dekoderin her bloktan 0x1FF bayta kadar bir atlama tamponuna kopyalamasına izin veriyor—EMDF formatında, ‘X8’ üzerinde senkronize edilmiş. Ancak bu tamponu akıllıca hazırlarsanız, ‘variable_bits’ ayrıştırması kontrolden çıkarak taşma veya istediğiniz her türlü kaosa yol açar.
İşte bu durumu mahveden standart kesiti:
Söz dizimi Bit Sayısı skiple 1 if(skiple) skipl 9 skipfld 9 * 8 }
O ‘skipfld’ mi? Doğrudan bit akışını tampona çekiyor. Kontrol yok. Ardından EMDF senkronizasyon kelimesi avları geliyor, ancak akışı kontrol sizdeyse—oyun bitti demektir.
Project Zero, sandboxed mediacodec işlemi içinde kod yürütme için bunu kullandı. Teorik değil. Gerçek. Ve 5 Ocak 2026’da düzeltildi—eski yamalarda kalan cihazlar için çok geç.
Kısa paragraflar beni sıkıyor. Bu ise yoğun: OEM’lere ikili paket olarak sunulan UDC, sembolleri eksik, iç işleyişini gizliyor. Android’in otomatik çözme hamlesi—yapay zeka transkripsiyonu, arama—her SMS ses klibinin kullanıcı açmadan önce bunu tetiklemesi anlamına geliyor. CVE-2025-36934 (Pixel 9 çekirdek yükselticisi) gibi sürücü hatalarıyla birleştiğinde, bir mesajdan root elde etme potansiyeli doğuyor. Üreticiler istismar edilebilirliği sorguladı. Project Zero bunu kanıtlarla yanıtladı.
Android’in 0-Click Yüzeyi Neden Büyümeye Devam Ediyor?
Otomatik özellikler havalı duyuluyor. Akıllı özellikler için medyayı sessizce çözmek. Ama bu saldırganlar için bir açık büfe. Samsung’daki Monkey’s Audio önce düştü (CVE-2025-49415). Şimdi Dolby her yerde—Android, iOS, Windows. En çok etkilenenler Pixeller.
Tek bir yumruk: Korumalı mı? Elbette. Kullanışlı mı? Kesinlikle—çekirdeğe geçiş için.
Stagefright’ı hatırlayın, 2015? MMS videoları Nexus cihazlarını uzaktan ele geçirmişti. Bu daha da güçlü yankılanıyor—RCS’nin yaygınlığı, riskleri artıran yapay zeka çılgınlığı. Android’in hafifletmeleri—sandboxing, doğrulanmış önyükleme—işe yarıyor, ancak medya dekoderleri ve sürücüler delikler açıyor. Project Zero zinciri onları acımasızca test ediyor.
“Umarız bu araştırma, savunmacıların bu saldırıların sahada nasıl çalıştığını, Android’in güvenlik özelliklerinin bu tür saldırıları önleme konusundaki güçlü ve zayıf yönlerini ve mobil cihazlarda medya ve sürücü güvenlik açıklarını gidermenin önemini daha iyi anlamalarına yardımcı olur.”
Doğrudan gönderiden. Asil bir amaç. Peki ya Google’ın PR açıklaması? Yamalar keşiften aylar sonra yayınlandı. Kullanıcılar OTA piyangosunu bekliyor.
Saldırganlar Bunu Gerçekten Root’a Kadar Zincirleyebilir mi?
Bölüm 2, çekirdeğe atlama işlemini CVE-2025-36934 aracılığıyla vaat ediyor—mediacodec kum havuzundan bir sürücü sızıntısı. Kum havuzu kaçışları efsane değil; matematik. Pixeller, ForcedEntry sonrası sıkılaştırıldı, ancak sürücüler geride kalıyor.
Benzersiz bir açı: Bu, NSO’nun ilk zincirlerini, Kilitlenme hafifletmelerinden önce yansıtıyor. O zamanlar, WhatsApp aramaları dekoderleri tetikliyordu. Bugün, Mesajlar RCS sesini kullanıyor. Tahmin—bütünsel düzeltmeler olmadan, 0-click RCS açıklarının 2027’ye kadar 3 kat artması bekleniyor, çünkü yapay zeka medya ayrıştırması iMessage’a da yayılıyor.
Kurumsal tanıtımlarda bunlara ‘köşe durumları’ deniyor. Saçmalık. Milyarlarca insan günlük olarak medya çözüyor. Tek bir kötü klip, telefon ele geçirilmiş demek.
Derin dalış zamanı. ‘variable_bits’ sözde kodu:
variable_bits (n_bits) {
value = 0;
do {
value += read n_bits
read_more 1
if (read_more) {
value <<= n_bits;
value += (1<<n_bits);
}
}
while (read_more);
return value;
}
Döngü kontrolsüz mü? Taşma cenneti. EMDF kapsayıcıları, daha fazla ‘variable_bits’ aracılığıyla sürüm, key_id uzantılarıyla yükleri zincirliyor. Desteyi yığıp ayrıştırıcıyı parçalayın.
Pixel 9’da UDC, vendor/lib64 içine yerleşmiş durumda. Korunaklı mı? Evet. Peki ya komşu sürücüler? Seth Jenkins dikişi buldu.
Üreticilerin İnkarı Çöküyor
Sorular uçuştu: ‘İstismar edilebilir mi? Sıradan kullanıcılar için 0-click mi? Yürütme sonrası kullanışlı mı?’ Project Zero zinciri kurdu. Mediacodec kod yürütme geçişleri—veri sızdırma, anahtar kaydı, yükseltme. Platformlar dekoderleri güçlendirmeli, sürücüleri izole etmeli, otomatik çözme seçeneğini kapatmalı.
Korkunçluğun içindeki mizah: Dolby Atmos sürükleyicilik vaat ediyor. Burada ise saldırganları sürükleyici hale getiriyor.
Bölüm 3 dersleri ufukta. Hafifletmelerin eleştirisini bekleyin—Android’in ikili paket bağımlılığı acıtıyor.
🧬 İlgili İçgörüler
- Daha Fazlasını Okuyun: Pentest Botunuz Neden Sessizleşti: Güvenliğinizi Öldüren Gizli Boşluklar
- Daha Fazlasını Okuyun: Google’ın Gmail ‘Sızıntısı’ Paniki: 2.5 Milyar Kullanıcı Güvende, Ancak Oltalama Hala Yüksek Ateşle Devam Ediyor
Sıkça Sorulan Sorular
CVE-2025-54957 nedir?
Dolby UDC’nin atlama tamponu ayrıştırmasındaki tampon hatalı kullanımı, DD+ ses çözme sırasında kod yürütmeye yol açıyor.
Pixel 9’um 0-click Dolby açıklarından güvende mi?
Ocak 2026 veya sonrası yama—Ayarlar > Sistem > Sistem güncellemesi’ni kontrol edin. Yamalanmamış mı? Açık.
Android Mesajlar’da 0-click saldırıları nasıl çalışıyor?
RCS sesi, transkripsiyon için otomatik olarak çözümlenerek, kullanıcı açmadan önce kusurlara ulaşıyor.
