文章总结： 谷歌ProjectZero披露Pixel9零点击攻击链：利用杜比解码器CVE-2025-54957与AV1驱动CVE-2025-36934，从短信音频附件直取内核，全程无需用户交互；开发成本约11人周，补丁2026-01-05已推送，用户须立即更新并减少暴露解码器。 综合评分： 92 文章分类： 漏洞分析,威胁情报,移动安全,漏洞预警,内核安全

Pixel 9 零点击漏洞利用链可破坏内核

sec随谈 sec随谈

sec随谈

2026年1月20日 08:53 北京

用户甚至无需打开邮件或点击“播放”按钮，设备即可在后台自动解析附件，以便无缝转录或索引，方便日后检索。虽然表面上看似便捷，但这种自动化功能却无意间将普通的通信变成了复杂的攻击目标。在这样的数字化环境中，攻击者往往只需要发送一个精心制作的文件即可。

谷歌Project Zero的研究人员精心绘制了一条针对谷歌Pixel 9的完整“零点击”攻击链，该攻击链涵盖了从媒体解码期间的远程代码执行到最终攻破内核的整个过程。这篇分为三部分的揭露文章阐述了如何利用音频处理和硬件驱动程序中的漏洞，在不给受害者任何操作的情况下，实现攻击。Project Zero指出，针对该攻击链中所有漏洞的修复程序已集成到2026年1月5日发布的安全更新中。

近年来，关键性的转变在于智能手机“智能”功能倾向于预先分析收到的信息内容。具体而言，谷歌信息可以自动解码通过短信和RCS接收的音频附件，以便在无需用户干预的情况下进行转录。因此，音频解码器（包括那些仅偶尔使用的解码器）在大量安卓设备上成为高风险的零点击攻击途径。

该攻击链的初始阶段涉及杜比统一解码器 (UDC)，这是一个用于杜比数字和杜比数字+（AC-3 和 EAC-3）的库，通常嵌入在制造商的固件中。Project Zero 演示了元数据处理 (EMDF) 中存在的 CVE-2025-54957漏洞mediacodec如何导致内存损坏。这种漏洞最终会导致代码在 Pixel 9 上一个本应独立的媒体解码进程中执行。

然而，围绕媒体解码器的“沙盒”机制未必能阻止入侵。在第二部分研究成果中，Project Zero 描述了他们如何从环境层层深入mediacodec到/dev/bigwave驱动程序层——该驱动程序负责 Pixel 芯片组上的 AV1 加速。通过利用 CVE-2025-36934 漏洞，他们成功绕过了现有限制，获取了内核级原语。

除了技术上的精湛之外，研究人员还强调了此次攻击的“经济性”。他们估计，开发基于杜比技术的漏洞利用程序大约需要八个人工周，而针对特定驱动程序的概念验证则大约需要三个人工周。值得注意的是，这一攻击链仅依赖于两个漏洞，而非一系列复杂的错误；因此，实际上，设备的安全性主要取决于生态系统向最终用户提供补丁的速度。

在最后一部分，Project Zero 重点指出了修复时间表上令人担忧的差异。UDC漏洞于 2025 年 6 月 26 日披露给杜比，并于 2025 年 10 月 15 日公开披露。据报道，三星在 2025 年 11 月 12 日之前发布了补丁，而 Pixel 手机直到 2026 年 1 月 5 日才收到更新。这意味着该漏洞在 Pixel 设备上持续存在数十天，且一直未被修复。由于 UDC 等第三方组件库并未集成到 APEX 等系统级更新机制中，因此加速此类组件的更新仍然十分复杂。

对于 Pixel 9 和其他安卓智能手机的用户来说，务实的结论既简单又至关重要：务必检查是否已安装 2026 年 1 月的安全更新，并确保所有参与消息和媒体处理的应用程序都是最新版本。此外，平台开发者必须更加警惕新兴的“智能”功能可能无意中扩大零点击攻击面，同时努力减少可从远程访问环境中获取的解码器和驱动程序的数量。

参考链接：

https://projectzero.google/2026/01/pixel-0-click-part-1.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《Pixel 9 零点击漏洞利用链可破坏内核》