Androidtelefoons waren maandenlang kwetsbaar voor een zeroclick-aanval waarbij toestellen zonder enige interactie van gebruikers volledig konden worden gecompromitteerd, zo laat Google Project Zero in een analyse weten. Updates voor de twee kwetsbaarheden die de aanval mogelijk maken zijn inmiddels verschenen. Het kan echter nog wel enige tijd duren voordat alle Androidtelefoons de patches ontvangen, aldus de onderzoekers.

Androidtelefoons ondersteunen audiotranscriptie, waarbij audiobijlagen die via sms of rcs worden verstuurd en ontvangen door Google Messages automatisch worden gedecodeerd, zonder enige interactie van gebruikers. Een aanvaller kan hier misbruik van maken door malafide audiobijlagen naar Androidtelefoons te sturen. Een onderzoeker van Google Project Zero ontdekte een kwetsbaarheid in de Dolby Unified Decoder. Android gebruikt deze library voor het decoderen van bepaalde audioformaten, die bijvoorbeeld als bijlage via sms of rcs kunnen worden verstuurd.

Via het beveiligingslek (CVE-2025-54957) kan een remote aanvaller code in de context van de mediacodec uitvoeren. Dat is nog niet voldoende om Androidtelefoons volledig over te kunnen nemen. Daarvoor vond een andere onderzoeker van Google Project Zero een andere kwetsbaarheid. Dit beveiligingslek werd gevonden in de BigWave driver. BigWave is hardware die onderdeel uitmaakt van Pixel-telefoons en wordt gebruikt voor het decoderen van beeldmateriaal. Via dit lek (CVE-2025-36934) kan een aanvaller die al toegang tot een telefoon heeft zijn rechten verhogen en code met kernelrechten uitvoeren.

Volgens de onderzoekers zijn drivers een zwakke plek van Android. Uit cijfers van Google blijkt dat aanvallers sinds 2023 in totaal zestien verschillende driver-lekken bij aanvallen hebben gebruikt. Beide kwetsbaarheden werden tot verrassing van de onderzoekers in zeer korte tijd gevonden. Een ander opvallend aspect dat ze noemen, is dat er slechts twee beveiligingslekken nodig zijn om via een zeroclick-aanval kernelrechten op de telefoon te krijgen. "Langere exploitketens zijn meestal op bepaalde platforms vereist vanwege effectieve sandboxing en andere features om rechten te beperken", zo merken ze op.

139 dagen zonder patch

Verder zijn de onderzoekers kritisch op de tijd dat het duurde voordat beide kwetsbaarheden werden gepatcht. Het kritieke Dolby-lek werd op 26 juni vorig jaar aan Dolby gerapporteerd. Googles team dat verantwoordelijk is voor de Pixel-telefoons ontving pas op 8 oktober patches van Dolby. De Google-onderzoekers maakten het lek op 15 oktober openbaar. Samsung was pas de eerste Androidfabrikant die het lek op 12 november 2025 patchte. Pas op 5 januari dit jaar kwam Google zelf met updates.

"Het is alarmerend dat het 139 dagen duurde voordat een kwetsbaarheid die te misbruiken is in een zeroclick-context pas op een Androidtoestel wordt gepatcht, en Pixel had 54 dagen langer nodig. De kwetsbaarheid was 82 dagen openbaar voordat die door Pixel werd gepatcht", zo stellen de onderzoekers. Die wijzen onder andere naar Dolby voor de lange tijd dat het duurde dat het probleem werd opgelost. De onderzoekers zeggen dat ze Dolby waarschuwden dat het lek ernstig was, maar Dolby kwam met een beveiligingsbulletin waarin de ernst totaal niet wordt vermeld.

De BigWave-kwetsbaarheid werd op 20 juni vorig jaar door de Google-onderzoekers aan het Pixel-team gemeld. Die beoordeelden het probleem in eerste instantie als "moderate". Op 18 september werd dit opgeschaald naar "high". Uiteindelijk verscheen op 6 januari de beveiligingsupdate voor deze kwetsbaarheid. Details van het lek werden echter al op 19 september door de Google-onderzoekers openbaar gemaakt.

Verder stellen de onderzoekers dat er inmiddels updates voor het Dolby-lek beschikbaar zijn, maar het enige tijd kan duren voordat alle gebruikers die ontvangen. Dit kan namelijk van verschillende factoren afhangen. Niet elke Androidfabrikant brengt namelijk tijdig beveiligingsupdates uit, als ze dat al doen, aldus de onderzoekers. Het Dolby-lek bleek niet op macOS of iOS te kunnen worden misbruikt.