文章摘要
谷歌Project Zero团队发现了一个针对Pixel 10的零点击漏洞利用链。他们在之前Pixel 9漏洞基础上进行了更新,主要调整了库偏移量,并克服了Pixel 10使用RET PAC替代堆栈保护带来的挑战,最终通过覆盖初始化代码实现了漏洞利用。该漏洞利用链已公开。
文章总结
标题:Pixel 10零点击漏洞利用链:关上一扇门,打开一扇窗
主要内容重述:
- 漏洞背景
- 研究团队此前公开了针对Pixel 9的漏洞利用链,仅需两个漏洞即可实现从零点击到Android root权限
- 其中Dolby零点击漏洞影响所有Android设备,已于2026年1月修复
- 本次研究旨在验证能否为Pixel 10构建类似的漏洞利用链
- Dolby漏洞的适配
- CVE-2025-54957漏洞的移植相对简单,主要调整了针对Pixel 9的库偏移量
- 主要挑战在于Pixel 10使用RET PAC替代栈保护机制,最终选择覆盖dapcpdpinit函数
- 该漏洞仅影响2025年12月及更早版本的系统
- 新攻击面发现
- Pixel 10移除了BigWave驱动,但新增了VPU驱动(/dev/vpu)
- VPU驱动由原BigWave开发团队维护,用于Tensor G5芯片的视频解码加速
- 与上游Linux驱动不同,该驱动直接暴露硬件接口给用户空间
- 关键漏洞分析
- 发现可映射任意物理内存的严重漏洞(CVE编号未提及)
- 漏洞允许用户空间访问并修改内核镜像(包括.text和.data段)
- 利用该漏洞仅需5行代码,完整利用开发耗时不足1天
- 由于内核物理地址固定,攻击者无需额外扫描即可精确定位
- 修复过程
- 漏洞于2025年11月24日报告,被Android VRP评为高危
- 71天后(2026年2月)完成修复,创下Android驱动漏洞最快修复记录
- 相比此前BigWave漏洞(评级中危)的处理有明显改进
- 研究启示 积极方面:
- 证明Android漏洞分诊流程的进步
- 高危漏洞修复效率显著提升
待改进方面: - Android驱动仍需加强安全编码实践 - 尽管此前报告过BigWave漏洞,开发者仍未全面审计相关驱动 - 呼吁厂商采取更主动的安全开发策略
(编辑说明:删减了部分技术细节和外部链接,保留了漏洞原理、影响范围和修复过程等核心内容,突出了安全改进与持续挑战的双重主题)
评论总结
以下是评论内容的总结,保留主要观点和关键引用:
对漏洞报告质量的肯定
- phuff认为报告清晰易懂,即使非内核专家也能理解("This is a great bug report... I was able to follow along")
- 同时担忧类似隐患的存在("makes me scared for what other dangers lurk")
AI在安全领域的角色争议
- phuff认为专业经验仍不可替代("Expertise is still immensely valuable")
- shay_ker则通过实验证明GPT-5.5能发现漏洞("it correctly identified the issue at hand, without web searches")
厂商响应速度的对比
- greesil肯定Google的修复速度("patched within 90 days"),但担忧其他Android厂商
- NooneAtAll3对比GrapheneOS的安全优势("achieves high security level where Google failed")
编程语言缺陷的讨论
- codedokode批评整数溢出设计("mistake to allow '+' operator to overflow"),以Rust为例
- a-dub建议内核应提供更安全的映射接口("surprised there aren't idioms like copy(to|from)user")
漏洞披露趋势的观察
- revolvingthrow质疑漏洞是否真的变多("has the rate picked up or just more hype?")
- rjsw指出硬件支持代码合并延迟可能引发问题("pending a merge for a long time")
内部流程的质疑
- jeffbee对Project Zero的漏洞上报流程表示惊讶("surprised they can't advocate face to face")
关键分歧点:
- AI能力评估(shay_ker的实验结果 vs phuff的专家价值论)
- 安全责任归属(Google响应速度 vs GrapheneOS的实践对比)