Back to Feed
总结
Google 安全团队 Project Zero 发布三篇博客,披露并复盘针对 Pixel 9 的零点击漏洞利用链。相关漏洞在 2025 年 9 月 19 日已公开,但 Google 直到 2026 年 1 月 6 日才向手机推送补丁。研究员指出,近年来手机加入多项 AI 驱动功能,零点击攻击面随之扩大,其中音频转录导致 Google Messages 接收短信与 RCS 音频附件时可在无需用户操作下自动解码。此次利用链的起点被指向音频解码器 Dolby Unified Decoder,涉及 AC-3/EAC-3 格式支持,凸显媒体解码组件成为关键入口的风险。
正文
Google 安全团队 Project Zero 发表了三篇博客,分析了针对 Pixel 9 手机的零点击漏洞利用链。相关漏洞早在 2025 年 9 月 19 日就已经公开,但 Google 直到 2026 年 1 月 6 日才给手机打上补丁。安全研究员称,智能手机过去几年为用户提供了多项 AI 驱动的功能,但这些 AI 功能带来的一个后果是零点击攻击面的扩大。其中一项功能是音频转录。Google Messages 接收到的短信和 RCS 音频附件无需用户操作就会自动解码。音频解码器现在是零点击攻击面的一部分,针对 Pixel 9 的零点击漏洞利用链就始于音频解码器 Dolby Unified Decoder--它提供了对 AC-3(Dolby Digital)和 EAC-3(Dolby Digital Plus)音频格式的支持。
发布时间: