Не нажимай на кнопку — все равно получишь... взлом. Как работает новый 0-click эксплойт в Android

Вы можете даже не открывать сообщение и не нажимать «воспроизвести», а телефон уже начнет «разбирать» вложение на фоне, чтобы потом показать расшифровку или сделать его доступным для поиска. Удобно, но именно такие автоматические функции превращают обычную переписку в поверхность атаки, где злоумышленнику иногда достаточно просто отправить специально подготовленный файл.

Исследователи Google Project Zero опубликовали разбор полной 0-click цепочки эксплуатации для Google Pixel 9: от удаленного запуска кода в процессе декодирования медиа до выхода на уровень ядра. Серия состоит из трех частей и описывает, как уязвимости в обработке аудио и драйверах могут складываться в сценарий, при котором жертве не нужно совершать никаких действий. По данным Project Zero, исправления для уязвимостей из этой цепочки стали доступны в обновлениях от 5 января 2026 года.

Ключевой поворот последних лет в том, что «умные» функции на смартфонах стали заранее анализировать контент сообщений. В частности, Google Messages может автоматически декодировать входящие аудиовложения, полученные по SMS и RCS, чтобы сделать транскрибацию без участия пользователя. В результате сами аудиодекодеры, включая редко используемые, оказываются в зоне 0-click риска на большинстве Android-устройств.

Первая ступень цепочки связана с Dolby Unified Decoder (UDC), библиотекой для Dolby Digital и Dolby Digital Plus (AC-3 и EAC-3), которая встраивается в прошивки многих производителей. Project Zero показывает, как уязвимость CVE-2025-54957 в обработке метаданных (EMDF) позволяет добиться некорректной работы с памятью и в итоге получить выполнение кода в контексте mediacodec, то есть внутри изолированного процесса декодирования медиа на Pixel 9.

Но даже «песочница» медиадекодера не всегда означает, что атака на этом остановится. Во второй части Project Zero описывает, как из mediacodec удалось добраться до доступного из этого контекста драйвера /dev/bigwave, связанного с ускорением AV1 на чипе Pixel, и использовать уязвимость CVE-2025-36934 для выхода из ограничений и получения примитивов уровня ядра.

Отдельно исследователи подчеркивают, что впечатляет не только техника, но и «экономика» атаки: по их оценке, разработка эксплуатации для Dolby-уязвимости заняла около восьми человеко-недель, а для драйверной части базовый proof-of-concept потребовал порядка трех недель. При этом цепочка опиралась всего на два дефекта, а не на длинную связку из множества ошибок, и на практике многое упирается в то, насколько быстро экосистема доставляет патчи до пользователей.

В третьей части Project Zero приводит и неприятные цифры по срокам исправления: уязвимость в UDC сообщили Dolby 26 июня 2025 года, публичное раскрытие состоялось 15 октября 2025 года, Samsung, по их данным, выпустила патч 12 ноября 2025 года, а Pixel получил обновление только 5 января 2026 года. Это означает, что проблема оставалась публичной и не закрытой на Pixel в течение десятков дней, и сам путь обновлений для сторонних компонентов вроде UDC сложнее ускорить средствами Android, так как библиотека не поставляется как часть системы, обновляемой через механизмы наподобие APEX.

Практический вывод для владельцев Pixel 9 и других Android-смартфонов предельно скучный, но самый важный: проверить, что установлены свежие январские обновления безопасности 2026 года и все актуальные обновления приложений, которые участвуют в обработке сообщений и медиа. А производителям и разработчикам платформы, как отмечает Project Zero, придется внимательнее следить за тем, какие новые «умные» функции незаметно расширяют 0-click поверхность атаки, и сокращать число декодеров и драйверов, доступных из удаленно достижимых контекстов.