Project Zero prikazao zero-click exploit lanac za Pixel 10
Cyberpress piše da su istraživači Google Project Zero prikazali zero-click exploit lanac za Pixel 10, koji počinje ranjivošću u Dolby Unified Decoder komponenti i završava kontrolom nad kernelom preko VPU drivera. Napad se može pokrenuti obradom posebno pripremljenog Dolby Digital Plus audio sadržaja, bez interakcije korisnika. Druga faza iskorišćava propust u mmap handleru novog /dev/vpu drivera za Chips&Media Wave677DV blok na Tensor G5 čipu. Google je, prema tekstu, ispravku za VPU bug objavio u februarskom Pixel sigurnosnom biltenu.
Kod mobilnih uređaja zero-click lanac je posebno opasan jer korisnik ne mora ništa da klikne, otvori ili potvrdi. Dodatnu težinu ima to što je drugi deo lanca pronađen u kernel driveru koji mapira fizičku memoriju bez dovoljno provere, što ponovo pokazuje koliko drajveri dobavljača ostaju slaba tačka i na modernim telefonima.
- Proveriti da Pixel 10 uređaji imaju instalirane februarske 2026 Android sigurnosne zakrpe ili novije
- Na poslovnim telefonima uključiti automatsko ažuriranje sistema i aplikacija gde god je moguće
- Voditi evidenciju Pixel uređaja, verzija Androida i nivoa sigurnosnih zakrpa kroz MDM
- Ograničiti upotrebu zastarelih uređaja koji više ne dobijaju redovne sigurnosne ispravke
- Za korisnike sa visokim rizikom pratiti Project Zero i Android Security Bulletin objave, ne samo opšte vesti