Googleのセキュリティ研究チーム「Project Zero」が、Pixel 10端末を対象としたゼロクリック型の攻撃チェーンについて詳細を公開し、Androidの低レイヤーセキュリティに改めて懸念が広がっています。この手法はユーザーの操作を一切必要とせず、条件次第では端末の完全制御にまで至る可能性があるとされています。
ユーザー操作不要でRoot権限まで到達する攻撃構造
今回報告された攻撃は、Pixel 9向けに発見されていたDolby Media Frameworkの脆弱性(CVE-2025-54957)を起点とするもので、Pixel 10でもほぼ同様の手法が再現可能であることが確認されました。
攻撃者は2つの脆弱性を連鎖させることで、リモートからコード実行を行い、そのまま権限を段階的に引き上げてRoot権限まで到達できます。Pixel 10では新たに導入されたメモリ保護機構の影響で一部調整が必要だったものの、攻撃成立までの難易度は依然として低いままだとされています。
RET PAC導入後も成立するメモリ操作手法
Pixel 10では従来のスタック保護に代わりRET PAC(Return Address Pointer Authentication)が導入されましたが、研究者はこれを回避する代替手法を発見しました。
本来ターゲットとなる__stack_chk_failは利用できなくなったものの、dap_cpdp_initという別の関数を悪用することでシステムの安定性を崩さずに制御フローを書き換えることが可能になっていました。このため、2025年12月以前の未修正端末ではゼロクリック攻撃が成立する状態が続いていたとされています。
新VPUドライバに存在した深刻なカーネル脆弱性
後段の権限昇格には、Pixel 10で新たに追加されたVPUドライバ(/dev/vpu)に存在する脆弱性が利用されました。このドライバはTensor G5チップの動画処理ユニット「Chips&Media Wave677DV」と連携しています。
問題となったのはメモリマッピング処理で、mmap要求時にサイズ検証が適切に行われていなかった点です。結果として、攻撃者は以下のような操作が可能でした。
・不正に大きなメモリ領域の確保
・制限のない物理メモリへのアクセス
・カーネル領域の参照・改ざん
Pixel端末ではカーネルの物理アドレスが予測可能なため、攻撃者は重要な構造体を特定し、直接書き換えることが可能になります。結果として、わずかなコードでカーネルレベルの制御権を取得できると報告されています。
複合攻撃で端末完全制御も可能に
研究では、Dolbyのゼロクリック脆弱性とVPUドライバの欠陥を組み合わせることで、以下の攻撃が成立するとされています。
・ユーザー操作なしでのリモートコード実行
・Root権限への昇格
・端末全体の完全制御
実際の攻撃シナリオでは、悪意あるメディアファイルの受信だけで侵入が成立し、その後カーネル操作によってセキュリティ機構の無効化やマルウェアの永続化が可能になると説明されています。
71日で修正されたが残る構造的課題
この問題は2025年11月24日に報告され、深刻度はHighに分類されました。その後、Googleは約71日で修正パッチを公開し、2026年2月のAndroidセキュリティアップデートで対応を完了しています。
対応速度自体は過去と比較して改善が見られるものの、Project Zeroはドライバ開発における設計・監査体制の弱さを指摘しています。特に今回のVPUドライバは、過去に問題となったBigWaveドライバと同じ開発系統であることが判明しており、再発防止の難しさが浮き彫りになりました。
ゼロクリック攻撃は依然として最も危険な攻撃手法の一つであり、わずかな実装ミスが端末全体の侵害につながる現実が改めて示された形です。
