Son yıllarda mobil telefonlara eklenen yapay zeka destekli özellikler, kullanıcıların mesajlarını daha iyi anlamasını sağlarken, aynı zamanda 0-click saldırı yüzeyini de artırdı. Özellikle ses transkripsiyonu gibi özellikler, mesaj medyalarının kullanıcı tarafından açılmadan önce otomatik olarak kodunun çözülmesini gerektirdiğinden, ses kod çözücülerini çoğu Android telefon için kritik bir 0-click saldırı vektörü haline getirdi. Google Mesajlar tarafından alınan SMS ve RCS ses ekleri artık kullanıcı etkileşimi olmadan otomatik olarak çözülüyor.
Google Project Zero ekibi, bu kod çözücüleri derinlemesine inceledi ve Dolby Unified Decoder'da (UDC) CVE-2025-54957 numaralı önemli bir güvenlik açığı tespit etti. Bu güvenlik açığının günümüzdeki çoğu Android cihazda 0-click saldırı yüzeyinde olduğu düşünülüyor. Ek olarak, Pixel 9'da kod çözücünün çalıştığı sandbox'tan erişilebilen bir sürücüde CVE-2025-36934 numaralı başka bir açık da bulundu.
Project Zero, bu tür güvenlik açıklarının gerçek dünyada ne kadar istismar edilebilir olduğunu ve modern Android güvenlik ortamında 0-click açıklarının sadece en iyi kaynaklara sahip saldırganlar için mi mümkün olduğunu göstermek amacıyla Pixel 9'u hedef alan bir 0-click exploit zinciri geliştirdi. Bu araştırma, savunmacıların bu tür saldırıların nasıl çalıştığını, Android'in güvenlik özelliklerinin güçlü ve zayıf yönlerini ve mobil cihazlardaki medya ve sürücü güvenlik açıklarının giderilmesinin önemini daha iyi anlamalarına yardımcı olmayı amaçlıyor. Exploit zinciri üç blog yazısında detaylandırılacak olup, ilk bölüm CVE-2025-54957'yi kullanarak mediacodec bağlamında rastgele kod yürütme elde etmeyi açıklıyor. Bahsedilen tüm güvenlik açıkları 5 Ocak 2026 itibarıyla düzeltilmiştir.
Mobil cihazlardaki otomatik ses işleme özelliklerinin, kullanıcı etkileşimi gerektirmeyen kritik güvenlik açıklarına yol açabileceği ve bu açıkların gelişmiş saldırganlar tarafından tam bir cihaz kontrolü için kullanılabileceği gösterildi.