Zero-Click в Android и iOS. Одного «просто послушай» достаточно для взлома

leer en español

Zero-Click Project Zero Google уязвимость Android
Zero-Click в Android и iOS. Одного «просто послушай» достаточно для взлома
Zero-Click Project Zero Google уязвимость Android

Одно аудиосообщение открывает доступ к телефону без единого клика.

image

Команда Google Project Zero раскрыла критическую уязвимость в декодере Dolby DDPlus Unified Decoder, которая позволяет выполнять произвольный код на Android-устройствах без участия пользователя. Уязвимость получила идентификатор CVE-2025-54957 и представляет собой ошибку записи за пределы выделенной области памяти при обработке аудиоданных.

Проблема возникает из-за переполнения целочисленного значения при вычислении длины буфера, в который декодер записывает данные. В результате выделяется слишком маленький блок памяти, и защита от выхода за границы перестаёт работать. Это позволяет злоумышленнику повредить структуру в памяти, включая указатели, задействуемые при разборе следующего syncframe.

На устройствах Android уязвимость становится особенно опасной из-за того, как работает система. Платформа автоматически декодирует все входящие аудиосообщения и вложения — в том числе через RCS-мессенджеры — для транскрибирования, не дожидаясь действий пользователя. Этим и воспользовались исследователи из Project Zero, добившись исполнения кода в контексте mediacodec на Pixel 9, запущенном на версии прошивки 16 BP2A.250605.031.A2. Таким образом, атака становится полноценной zero-click, то есть не требует никаких действий от владельца устройства.

В процессе тестирования Google подтвердила возможность вызова сбоя (SIGSEGV) также на Samsung S24 с версией S921U1UES4AYB3, а также обнаружил, что уязвимый код присутствует на MacBook Air M1 (macOS Tahoe 26.0.1) и iPhone 17 Pro (iOS 26.0.1). Однако на этих платформах выполнение кода не подтверждено — вероятно, из-за дополнительных механизмов предварительной валидации аудиофайлов.

Также затронута платформа ChromeOS, где уязвимость была устранена в обновлении от 18 сентября 2025 года. Аналогичное исправление вышло и от Microsoft.

Для демонстрации атаки исследователи подготовили файл dolby_android_crash.mp4, который можно внедрить в аудиосообщение. Достаточно заменить временный файл в кеше RCS-мессенджера (/data/user/0/com.google.android.apps.messaging/cache/mediascratchspace/) на подложный mp4 с помощью ADB, после чего отправка сообщения приведёт к краху C2-процесса на устройстве-жертве.

В Project Zero подчёркивают, что проблема была раскрыта в рамках стандартной 90-дневной политики публичного уведомления. Хотя изначально крайним сроком называлось 24 сентября 2025 года, окончательной датой признано 25 сентября — с учётом часовых поясов. Отчёт о баге стал публичным спустя 30 дней после выхода обновлений, как предписано правилами раскрытия уязвимостей (документ Google Project Zero).

Исследование потенциальной эксплуатации продолжается, и Google обещает опубликовать все технические детали zero-click атаки после завершения анализа.