Zero-click su Android: il punto debole nascosto nei decoder audio

Le moderne funzioni di analisi automatica dei contenuti multimediali stanno modificando in profondità il modello di sicurezza degli smartphone. In particolare, la capacità dei dispositivi di elaborare allegati audio in modo proattivo, senza alcuna interazione dell’utente, apre nuovi scenari di attacco zero-click.

Questo rischio è al centro della prima parte della serie pubblicata da Google Project Zero nel gennaio 2026, dedicata a una catena di vulnerabilità che consente l’esecuzione di codice remoto attraverso la semplice ricezione di un file audio. L’analisi è firmata da Natalie Silvanovich e prende avvio da una ricerca più ampia sui codec audio poco utilizzati ma comunque presenti nei firmware Android.

L’indagine non nasce direttamente sui dispositivi Pixel. Il lavoro iniziale si è concentrato sul codec Monkey’s Audio, analizzato su dispositivi Samsung, dove è stata individuata la vulnerabilità CVE-2025-49415. Questo primo risultato ha spinto i ricercatori ad ampliare l’analisi ad altri decoder audio integrati nei sistemi Android, portando l’attenzione sul Dolby Unified Decoder (UDC).

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il Dolby Unified Decoder è una libreria condivisa utilizzata per la decodifica dei formati Dolby Digital e Dolby Digital Plus (AC-3 ed E-AC-3) ed è inclusa nel firmware di numerosi produttori. Su Pixel, il decoder è accessibile dal processo mediacodec, che può essere attivato automaticamente quando il sistema tenta di analizzare un allegato audio ricevuto, ad esempio per la trascrizione o l’indicizzazione del contenuto.

La vulnerabilità principale individuata in questo componente è CVE-2025-54957. Il problema non riguarda genericamente la gestione dei metadati, ma un integer overflow nella funzione evo_malloc, utilizzata durante l’elaborazione dei payload EMDF (Enhanced Metadata Delivery Format). In assenza di un controllo corretto sull’overflow degli interi, un valore di dimensione calcolato in modo errato può portare a un’allocazione di memoria insufficiente, seguita da una scrittura fuori dai limiti nell’heap denominato “evo”.

Oltre alla corruzione della memoria, la vulnerabilità presenta anche una capacità di leak, fondamentale per la costruzione di un exploit affidabile. A causa di un controllo errato tra i campi emdf_container_length e skipl, è possibile ottenere letture di memoria fuori dai limiti previsti, consentendo la divulgazione di contenuti sensibili dello spazio di memoria del processo. Questa combinazione di out-of-bounds write e out-of-bounds read rende la vulnerabilità particolarmente grave.

L’esecuzione del codice avviene nel contesto del processo di decodifica multimediale, che opera all’interno di una sandbox. Tuttavia, come sottolineato da Project Zero, il fatto che il codice vulnerabile venga raggiunto senza alcuna interazione dell’utente rappresenta già un cambiamento significativo nel modello di minaccia, soprattutto in presenza di applicazioni di messaggistica che analizzano automaticamente gli allegati in arrivo.

La prima parte della serie si concentra esclusivamente su questa fase iniziale dell’exploit, descrivendo in dettaglio come un file audio appositamente costruito possa attivare la vulnerabilità durante la decodifica. Le implicazioni a livello di driver o kernel non vengono affrontate in questo capitolo e sono rimandate alle parti successive dell’analisi.

Google ha incluso le correzioni per le vulnerabilità descritte negli aggiornamenti di sicurezza rilasciati nel gennaio 2026. Project Zero evidenzia come questo caso metta in luce un problema strutturale più ampio: l’espansione silenziosa della superficie di attacco causata da funzionalità “intelligenti” che elaborano contenuti non fidati prima ancora che l’utente ne sia consapevole.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.