Lỗ hổng zero-click mới được công bố nhắm vào Google Pixel 10 đang làm nổi bật cảnh báo CVE liên quan đến cơ chế bảo mật ở tầng thấp của Android. Chuỗi khai thác này cho phép kẻ tấn công chiếm quyền root mà không cần tương tác từ người dùng, bằng cách kết hợp chỉ hai lỗ hổng.
Lỗ hổng CVE và chuỗi khai thác zero-click
Nghiên cứu trước đó trên Pixel 9 đã chỉ ra một lỗi trong Dolby Media Framework, được gán mã CVE-2025-54957, có thể dẫn đến remote code execution. Trên Pixel 10, điểm vào này vẫn có thể được tái sử dụng với thay đổi tối thiểu, chủ yếu là tính lại các memory offset cho thư viện Dolby mới.
Điểm khác biệt đáng chú ý nằm ở lớp bảo vệ mới. Pixel 10 sử dụng Return Address Pointer Authentication (RET PAC) thay cho cơ chế bảo vệ stack truyền thống. Điều này khiến phương pháp ghi đè mục tiêu quen thuộc như __stack_chk_fail không còn phù hợp.
Thay vào đó, nhóm nghiên cứu xác định hàm dap_cpdp_init là mục tiêu có thể bị hijack mà không làm mất ổn định hệ thống. Cách tiếp cận này giúp chuỗi zero-click exploit tiếp tục hoạt động trên các thiết bị chưa được vá với bản cập nhật bảo mật phát hành trước tháng 12/2025.
Phần leo thang đặc quyền trong lỗ hổng CVE
Giai đoạn leo thang đặc quyền không còn dùng driver BigWave như các nghiên cứu trước đó. Trên Pixel 10, lỗ hổng mới nằm trong driver được gắn tại /dev/vpu, giao tiếp với bộ xử lý video Chips&Media Wave677DV trên chip Tensor G5.
Trong quá trình kiểm tra nhanh, các nhà nghiên cứu phát hiện một lỗ hổng nghiêm trọng ở chức năng ánh xạ bộ nhớ của driver. Lỗi nằm ở cách driver xử lý yêu cầu mmap, cụ thể là không kiểm tra đúng kích thước vùng nhớ khi gọi remap_pfn_range.
Vì kernel Android trên thiết bị Pixel được nạp ở địa chỉ vật lý có thể dự đoán trước, kẻ tấn công có thể xác định và ghi đè trực tiếp lên các cấu trúc kernel quan trọng. Hệ quả là có thể đạt được arbitrary read and write trong bộ nhớ kernel.
Nhóm nghiên cứu cho biết việc chiếm quyền kernel đầy đủ chỉ cần vài dòng mã, khiến đây là một lỗ hổng CVE dễ khai thác bất thường so với các lỗi kernel điển hình.
Tác động hệ thống khi kết hợp hai lỗ hổng
Khi kết hợp lỗi zero-click trong Dolby và lỗi driver VPU, kẻ tấn công có thể thực hiện chuỗi xâm nhập từ xa đến chiếm quyền hệ thống.
- Kích hoạt payload ban đầu bằng một tệp media độc hại.
- Thực thi khai thác zero-click để chạy mã từ xa.
- Leo thang đặc quyền lên root thông qua lỗi /dev/vpu.
- Vô hiệu hóa các cơ chế bảo vệ hệ thống.
- Cài đặt mã độc hoặc thành phần bám trụ lâu dài.
Trong kịch bản thực tế, một tệp media độc hại có thể khởi tạo giai đoạn đầu của chuỗi tấn công mạng, sau đó thao túng kernel để tắt kiểm soát an ninh hoặc cài phần mềm bền vững trên thiết bị.
Cảnh báo CVE, thời gian vá lỗi và ảnh hưởng bảo mật
Lỗ hổng được báo cáo vào ngày 24/11/2025 và được xếp hạng High severity. Google đã phát hành bản vá trong bản cập nhật bảo mật Android tháng 2/2026, tức sau 71 ngày kể từ thời điểm báo cáo.
Thông tin tham chiếu có thể xem tại NVD – National Vulnerability Database. Việc khắc phục nhanh hơn so với nhiều trường hợp driver trước đây là điểm tích cực, nhưng vấn đề chính vẫn là quá trình phát triển driver Android.
Nhóm nghiên cứu lưu ý rằng driver VPU dễ bị tổn thương được phát triển bởi cùng một nhóm từng chịu trách nhiệm cho driver BigWave trước đó. Điều này cho thấy các khoảng trống lặp lại trong secure coding và quy trình kiểm tra mã.
IOC và dấu hiệu liên quan
Nội dung được cung cấp không nêu rõ IOC ở dạng chỉ số nhận diện như hash, domain, IP hoặc tên mẫu mã độc. Tuy nhiên, các thành phần kỹ thuật liên quan đến chuỗi khai thác gồm:
- CVE-2025-54957 – Lỗi Dolby Media Framework dùng cho giai đoạn khởi tạo khai thác.
- /dev/vpu – Device node chứa lỗ hổng leo thang đặc quyền.
- dap_cpdp_init – Hàm mục tiêu được dùng thay cho __stack_chk_fail.
- remap_pfn_range – Hàm liên quan đến lỗi kiểm tra kích thước trong mmap.
- RET PAC – Cơ chế bảo vệ stack mới ảnh hưởng trực tiếp đến hướng khai thác.
Phân tích kỹ thuật lỗ hổng CVE trong driver
Điểm đáng chú ý của lỗ hổng CVE này là chỉ một lỗi kiểm tra đầu vào trong driver có thể dẫn tới hệ thống bị xâm nhập hoàn toàn. Với quyền đọc/ghi tùy ý vào kernel memory, kẻ tấn công có thể can thiệp vào tiến trình, chính sách bảo vệ và các cấu trúc quản lý quyền.
Trong bối cảnh Android kernel được ánh xạ ở vị trí có thể dự đoán, việc khai thác trở nên đơn giản hơn. Điều này làm tăng nguy cơ bảo mật của các driver phần cứng nếu thiếu kiểm tra kích thước, ràng buộc vùng nhớ và xác thực tham số trước khi ánh xạ.
Chuỗi khai thác này cũng cho thấy một cảnh báo CVE không chỉ nằm ở phần mềm ứng dụng mà còn ở tầng driver, nơi lỗi nhỏ có thể mở ra toàn bộ bề mặt tấn công lên kernel.
Tác động đối với an toàn thông tin trên Android
Trường hợp này phản ánh một vấn đề rộng hơn trong an toàn thông tin trên hệ sinh thái Android: dù thời gian vá lỗi đã được cải thiện, các lỗi driver vẫn có thể vượt qua kiểm tra nếu quy trình rà soát không đủ chặt. Với lỗ hổng zero-day hoặc chuỗi zero-click exploit, hệ quả có thể bao gồm xâm nhập từ xa, chiếm quyền root và cài đặt thành phần bám trụ lâu dài.
Đối với đội ngũ phân tích và vận hành, ưu tiên cần đặt vào việc theo dõi các lỗ hổng CVE trong driver, đối chiếu bản vá bảo mật Android, và kiểm tra các bề mặt tấn công liên quan đến xử lý media, mmap, cùng cơ chế ánh xạ bộ nhớ kernel.
Kiểm tra bản vá bảo mật Android:
adb shell getprop ro.build.version.security_patch
adb shell getprop ro.build.version.release
Các lệnh trên hỗ trợ xác định thiết bị đã nhận bản vá bảo mật tương ứng hay chưa. Trong môi trường nghiên cứu, việc đối chiếu patch level với thời điểm công bố lỗ hổng CVE là bước cần thiết để đánh giá mức độ phơi nhiễm của thiết bị.
