IT之家 5 月 15 日消息，谷歌 Project Zero 團(tuán)隊(duì)昨日（5 月 13 日）發(fā)布博文，披露適用于 Pixel 10 手機(jī)的“零點(diǎn)擊”提權(quán)攻擊鏈，已在今年 2 月安全更新中修復(fù)。

本次提權(quán)攻擊鏈先沿用并調(diào)整 Dolby 漏洞利用，再借助 VPU 驅(qū)動(dòng)中的 mmap 邊界校驗(yàn)缺失，把任意物理內(nèi)存映射到用戶態(tài)，最終可讀寫(xiě)內(nèi)核并拿到內(nèi)核代碼執(zhí)行。

在本次提權(quán)攻擊鏈路的第一環(huán)節(jié)，研究人員擴(kuò)展其 1 月針對(duì) Pixel 9 發(fā)布的 3 篇研究，更新利用 Dolby Unified Decoder 漏洞（追蹤編號(hào) CVE-2025-54957）。

IT之家注：這個(gè)庫(kù)負(fù)責(zé)處理 Dolby Digital 音頻格式，范圍不只安卓，也集成在 iOS、Windows 和流媒體設(shè)備中。

問(wèn)題在于，很多安卓設(shè)備會(huì)在用戶打開(kāi)消息前，先為 Google Messages 收到的音頻消息做轉(zhuǎn)寫(xiě)。于是惡意音頻文件只要發(fā)到目標(biāo)手機(jī)，就可能在無(wú)交互狀態(tài)下觸發(fā)漏洞，這也是“零點(diǎn)擊”風(fēng)險(xiǎn)最讓人頭疼的地方。

Pixel 10 采用 RET PAC，原先可覆蓋的 __stack_chk_fail 不再可用，因此他們改為覆蓋 dap_cpdp_init 初始化代碼。

在第二提權(quán)環(huán)節(jié)，Pixel 9 上用于提權(quán)的是 BigWave AV1 解碼驅(qū)動(dòng)，但 Pixel 10 已不再使用它。Jenkins 與 Jann Horn 轉(zhuǎn)而檢查 Tensor G5 的 VPU 驅(qū)動(dòng)，只花了 2 小時(shí)就發(fā)現(xiàn)一個(gè)嚴(yán)重漏洞。

該驅(qū)動(dòng)未采用 V4L2（Video for Linux API，Linux 視頻接口），而是把硬件接口更直接地暴露給用戶態(tài)，甚至允許映射 MMIO（內(nèi)存映射輸入輸出）寄存器區(qū)域，這顯著抬高了風(fēng)險(xiǎn)。

這個(gè)漏洞出在驅(qū)動(dòng)的 mmap 處理邏輯：它按 VMA 大小調(diào)用 remap_pfn_range，卻沒(méi)有限制到硬件寄存器區(qū)域本身的大小，結(jié)果調(diào)用者可把任意數(shù)量的物理內(nèi)存映射到用戶態(tài)，甚至包括整個(gè)內(nèi)核鏡像。

攻擊者幾乎不需要復(fù)雜繞路。研究稱，Pixel 設(shè)備內(nèi)核總位于固定物理地址，攻擊者能直接推算它相對(duì) mmap 返回地址的位置，不必再額外掃描。

Jenkins 表示，要拿到內(nèi)核任意讀寫(xiě)權(quán)限，只用了 5 行代碼，完整利用代碼不到 1 天就寫(xiě)完。這也說(shuō)明問(wèn)題不只在單個(gè)漏洞本身，還在于驅(qū)動(dòng)層的基礎(chǔ)防護(hù)明顯跟不上系統(tǒng)處理多媒體內(nèi)容的速度。

修復(fù)方面，Jenkins 于 2025 年 11 月 24 日上報(bào)該 VPU 漏洞，71 天后，Google 在 2026 年 2 月 Pixel 安全公告中完成修復(fù)。

Dolby 相關(guān)利用則只影響 2025 年 12 月或更早 SPL 的設(shè)備，Pixel 10 手機(jī)用戶可在“設(shè)置” → “關(guān)于手機(jī)” → “Android 安全更新”中查看版本，確認(rèn)是否受到影響。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。