← Back to all posts
A 0-click exploit chain for the Pixel 10
448 points • 4 days agoArticle Link

Project Zero 的 Seth Jenkins 详述了他们开发的一条针对 Google Pixel 10 的新型零点击漏洞利用链,该工作建立在此前攻破 Pixel 9 的成果之上。原始的 Dolby UDC 漏洞(CVE-2025-54957)经少量调整后被移植到 Pixel 10,但由于 Pixel 10 使用 RET PAC 而非 -fstack-protector,利用中需要覆盖 dap_cpdp_init 而不是 __stack_chk_fail 。该更新后的利用链针对安全补丁级别为 2025 年 12 月或更早的未修补设备有效。

利用链中的本地权限提升部分无法直接移植,因为 Pixel 10 上不存在 BigWave 驱动。不过,研究人员发现了 Tensor G5 上 Chips&Media Wave677DV VPU 的新驱动。该驱动由与 BigWave 相同的团队开发,直接将芯片硬件接口暴露给用户空间,允许用户态映射芯片的 MMIO 寄存器接口,而不是通过标准的 V4L2 API 。

在 VPU 驱动的 vpu_mmap 处理函数中发现了一个严重漏洞:该处理函数仅根据 VMA 的大小调用 remap_pfn_range,而没有将映射范围限定在实际寄存器区域的大小内。这导致用户态可以从 VPU 寄存器区域的物理地址起映射任意物理内存。由于内核镜像位于更高的物理地址,攻击者可以访问并修改内核。结合 Pixel 设备上固定的内核物理地址,这几乎是一种任意内核读写原语——实现基本原语只需五行代码,完成完整利用通常不到一天时间。

该漏洞于 2025 年 11 月 24 日被报告,Android VRP 将其评为高危(High),比类似的 BigWave 漏洞获得了更高的严重性评级。漏洞在 71 天后的 2 月 Pixel 安全公告中得到修补,这是作者报告的 Android 驱动漏洞首次在 90 天内被修复,反映了 Android 漏洞分类与修补流程的改进与加速。

尽管这是积极进展,研究仍强调 Android 驱动代码需更强的安全意识与更严格的审计。 VPU 漏洞在 BigWave 问题曝光仅五个月后被发现,表明相关驱动并未得到充分的横向审计。加强驱动安全仍是当务之急,建议厂商采取更主动的软件安全策略,强化代码审计与漏洞修补流程,防止类似问题流向终端用户。

240 comments • Comments Link

• 移动设备上的 AI 功能在用户打开消息前就对消息媒体进行解码,从而扩大了"0-click"攻击面,带来了新的安全风险。

• Google 在 90 天内修复了一个 Android 驱动漏洞,这一速度明显快于其他 Android 厂商和 Apple,引发了人们对其他厂商补丁速度的质疑。

• 由于设备制造商对 Android UI 的分叉导致碎片化,Android 厂商更新缓慢,补丁难以迁移。

• Apple 对安全漏洞的历史响应时间大约为 6 个月,尽管有报告称近年来有所改善。

• Apple 设备上的 Lockdown 模式被视为记者等高风险人群的重要工具,但由于缺乏证据以及零点击漏洞的高价值,其对国家级攻击者的有效性仍受质疑。

• 已发布的 CVE 数量显著上升,翻倍周期已从 4–4.5 年缩短到大约两年,尽管这些 CVE 的质量和合法性存在争议。

• AI 一方面通过引入带有安全漏洞的新功能扩大了攻击面,另一方面又为安全研究人员提供了更高效的漏洞发现工具。

• 关于开发者对安全漏洞的责任存在争论,一些人认为追究编写不安全代码的个人责任能够提高软件安全性。

• Rust 提供了整数溢出的检测选项:在调试构建中默认开启,在发布构建中可选择开启,这可以防止某些类型的漏洞。

• 安全社区对 KASLR 等缓解措施的有效性存在分歧,一些人认为由于信息泄露普遍,这类措施只提供有限的边际收益。

• GrapheneOS 因其减少攻击面和加强加固而受到认可,但也有人认为其缓解措施表面化,需要更实质性的改进。

• 讨论强调了新增功能与维护安全性之间的紧张关系:有人认为移除功能是提升安全性的简单方法,但这会以牺牲功能性为代价。

• 呼吁将驱动更好地上游合并到 Linux 内核,以提升所有 Android 设备的安全性,而不仅仅是那些有开源 BSP 的设备。

总体讨论揭示了移动安全的复杂局面:AI 功能的快速整合正在创造新漏洞,而现有安全措施的有效性常被质疑。尽管在补丁速度和安全研究方面有所进展,但攻击面总体扩大以及许多厂商响应缓慢仍是重大问题。 AI 在制造与缓解安全问题方面的双重作用反复出现:它既可能引入新的漏洞,也能帮助更快地发现漏洞。关于开发者责任、 Lockdown 模式和 KASLR 等防护手段有效性的争论,凸显了在安全性、可用性与创新之间寻求平衡的持续挑战。

← Back to all posts