近期曝光的谷歌Pixel 10零点击漏洞攻击链,将Android系统底层安全风险再度推向风口浪尖。谷歌Project Zero安全团队的研究人员揭示了一种极具威胁的攻击模式:攻击者仅需串联两个漏洞,即可在用户无感知的情况下,悄无声息地入侵设备,并一举夺取最高root权限。
Pixel 10漏洞利用技术深度解析
此次攻击并非孤立事件,它建立在早期对Pixel 9设备漏洞研究的基础之上。此前,攻击者利用杜比媒体框架(Dolby Media Framework)中的一个高危漏洞(CVE-2025-54957)实现了远程代码执行。而在Pixel 10上,研究人员发现,仅需对攻击代码进行最小幅度的调整——主要是为更新后的杜比库重新计算内存偏移地址——便能成功复用同一攻击入口点。
当然,攻击过程也并非一帆风顺。由于Pixel 10引入了返回地址指针认证(RET PAC)机制以取代传统的栈保护,漏洞利用的难度有所增加。过去常用的栈溢出覆写目标(例如__stack_chk_fail函数)已不再适用。然而,研究人员迅速找到了一个理想的“跳板”:一个名为dap_cpdp_init的函数。通过劫持此函数的控制流,可以在不引发系统崩溃的前提下,实现稳定的权限跃迁。正是这一关键发现,使得这套完整的零点击攻击链在2025年12月安全更新发布前,对未打补丁的设备依然构成严重威胁。
新型内核提权路径剖析
如果说初始的漏洞利用尚属“旧瓶装新酒”,那么后续的提权阶段则完全开启了“新篇章”。Pixel 10移除了早期攻击中那个存在缺陷的BigWa ve驱动,迫使攻击者必须寻找新的突破口。很快,研究人员的目光聚焦于新引入的/dev/vpu驱动,并在此发现了致命缺陷。该驱动主要负责与谷歌Tensor G5芯片内置的Chips&Media Wa ve677DV视频处理单元进行通信。
Project Zero团队在对其进行简要安全审计时,发现其内存映射功能存在一个严重的设计漏洞:当调用remap_pfn_range函数时,驱动竟然未对请求映射的内存区域大小进行有效性校验。这一疏忽看似微小,后果却极为严重。攻击者可以借此实现:
请求远超实际需求的内存映射,从而突破预设的映射边界限制,最终暴露出包含内核核心代码在内的大段物理内存地址空间。
由于Android内核在Pixel设备上总是加载在固定且可预测的物理地址,攻击者能够直接定位并篡改关键的内核数据结构,轻松获得对内核内存的任意读写权限。研究人员特别指出,与常规复杂的内核漏洞利用相比,实现完全的内核控制在此仅需寥寥数行代码,凸显了该漏洞的极高危险性。
组合式攻击的实际危害与场景
将杜比框架的零点击远程代码执行漏洞与VPU驱动的内核缺陷组合利用,会产生怎样的连锁反应?攻击者能够实现:
在完全无需用户点击或确认的情况下,远程执行恶意代码;将权限从普通应用提升至系统最高root级别;最终实现对设备的完全掌控。
设想一个真实的攻击场景:一个精心构造的恶意媒体文件(如音频或视频)即可触发初始漏洞,随后,攻击者借助获得的内核级操控能力,可以轻易关闭设备的安全防护机制,或安装隐蔽性强、难以清除的持久化恶意软件,对用户隐私与数据安全构成极大威胁。
漏洞修复进程与安全启示
该漏洞链于2025年11月24日被正式上报,并被谷歌标记为高危等级。谷歌在71天内做出了响应,通过2026年2月的Android安全月度更新发布了修复补丁。这一响应速度,相较于以往处理第三方驱动漏洞的周期,已有明显提升。
然而,这项研究结果依然暴露出Android硬件驱动开发中长期存在的安全顽疾。尤为值得关注的是,此次存在漏洞的VPU驱动,与此前出问题的BigWa ve驱动,竟出自同一开发团队之手。这强烈暗示,在安全编码规范、代码审计与经验复盘机制方面,可能存在系统性的疏漏,未能从历史错误中充分吸取教训。
Project Zero团队强调,及时的漏洞修补固然是积极举措,但治本之策在于如何从源头防止此类漏洞被引入生产环境。这项研究揭示了一个更广泛的安全挑战:即便是硬件驱动中一个微小的逻辑缺陷,也可能成为导致整个移动设备防线失守的“阿喀琉斯之踵”。这无疑凸显了全面加强整个Android生态系统,特别是供应链安全管理和第三方驱动代码安全审查的极端必要性与紧迫性。
