Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Le moderne funzioni di analisi automatica dei contenuti multimediali stanno modificando in profondità il modello di sicurezza degli smartphone. In particolare, la capacità dei dispositivi di elaborare allegati audio in modo proattivo, senza alcuna interazione dell’utente, apre nuovi scenari di attacco zero-click.
Questo rischio è al centro della prima parte della serie pubblicata da Google Project Zero nel gennaio 2026, dedicata a una catena di vulnerabilità che consente l’esecuzione di codice remoto attraverso la semplice ricezione di un file audio. L’analisi è firmata da Natalie Silvanovich e prende avvio da una ricerca più ampia sui codec audio poco utilizzati ma comunque presenti nei firmware Android.
 Cybersecurity Awareness efficace? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel (giunta al sesto episodio), l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Contattaci tramite WhatsApp al numero 375 593 1011 per saperne di più e richiedere informazioni oppure alla casella di posta graphicnovel@redhotcyber.com
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’indagine non nasce direttamente sui dispositivi Pixel. Il lavoro iniziale si è concentrato sul codec Monkey’s Audio, analizzato su dispositivi Samsung, dove è stata individuata la vulnerabilità CVE-2025-49415. Questo primo risultato ha spinto i ricercatori ad ampliare l’analisi ad altri decoder audio integrati nei sistemi Android, portando l’attenzione sul Dolby Unified Decoder (UDC).
Il Dolby Unified Decoder è una libreria condivisa utilizzata per la decodifica dei formati Dolby Digital e Dolby Digital Plus (AC-3 ed E-AC-3) ed è inclusa nel firmware di numerosi produttori. Su Pixel, il decoder è accessibile dal processo mediacodec, che può essere attivato automaticamente quando il sistema tenta di analizzare un allegato audio ricevuto, ad esempio per la trascrizione o l’indicizzazione del contenuto.
La vulnerabilità principale individuata in questo componente è CVE-2025-54957. Il problema non riguarda genericamente la gestione dei metadati, ma un integer overflow nella funzione evo_malloc, utilizzata durante l’elaborazione dei payload EMDF (Enhanced Metadata Delivery Format). In assenza di un controllo corretto sull’overflow degli interi, un valore di dimensione calcolato in modo errato può portare a un’allocazione di memoria insufficiente, seguita da una scrittura fuori dai limiti nell’heap denominato “evo”.
Oltre alla corruzione della memoria, la vulnerabilità presenta anche una capacità di leak, fondamentale per la costruzione di un exploit affidabile. A causa di un controllo errato tra i campi emdf_container_length e skipl, è possibile ottenere letture di memoria fuori dai limiti previsti, consentendo la divulgazione di contenuti sensibili dello spazio di memoria del processo. Questa combinazione di out-of-bounds write e out-of-bounds read rende la vulnerabilità particolarmente grave.
L’esecuzione del codice avviene nel contesto del processo di decodifica multimediale, che opera all’interno di una sandbox. Tuttavia, come sottolineato da Project Zero, il fatto che il codice vulnerabile venga raggiunto senza alcuna interazione dell’utente rappresenta già un cambiamento significativo nel modello di minaccia, soprattutto in presenza di applicazioni di messaggistica che analizzano automaticamente gli allegati in arrivo.
La prima parte della serie si concentra esclusivamente su questa fase iniziale dell’exploit, descrivendo in dettaglio come un file audio appositamente costruito possa attivare la vulnerabilità durante la decodifica. Le implicazioni a livello di driver o kernel non vengono affrontate in questo capitolo e sono rimandate alle parti successive dell’analisi.
Google ha incluso le correzioni per le vulnerabilità descritte negli aggiornamenti di sicurezza rilasciati nel gennaio 2026. Project Zero evidenzia come questo caso metta in luce un problema strutturale più ampio: l’espansione silenziosa della superficie di attacco causata da funzionalità “intelligenti” che elaborano contenuti non fidati prima ancora che l’utente ne sia consapevole.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
