Hackers konden code uitvoeren op Android-telefoons via kwaadwillig spraakbericht

In dit artikel:

Google’s beveiligingsteam Project Zero heeft een zeroclick-aanval beschreven waarmee aanvallers op Android-toestellen code konden uitvoeren en via privilege escalation kernelrechten konden bemachtigen. De aanval begon met het versturen van een kwaadwillig spraakbericht via Google Messages; door kwetsbaarheden in de Dolby Unified Decoder konden aanvallers code in die audiocodec uitvoeren (CVE-2025-54957) en daarna via een fout in een kerneldriver verder opstijgen naar hogere rechten (CVE-2025-36934).

Project Zero ontdekte de keten op een Pixel 9 maar waarschuwt dat andere Android-telefoons waarschijnlijk ook vatbaar waren. De onderzoekers wijzen erop dat het risico toeneemt nu meer telefoons AI gebruiken om binnenkomende content — zoals spraakberichten — onmiddellijk te analyseren en te transcriberen; omdat dergelijke berichten meteen worden ontsleuteld, is geen gebruikersinteractie nodig om de exploit te activeren.

Qua mitigatie had Google vanaf de Pixel 8 een maatregel die de privilege-escalation zou blokkeren, maar die alleen werkt wanneer gebruikers de optie Geavanceerde bescherming inschakelen. Apple‑toestellen lijken niet getroffen omdat de Dolby-decoder daar een extra bescherming tegen out‑of‑bounds‑write‑aanvallen bevat; Project Zero dringt er bij Dolby op aan die verdediging ook op andere platforms te implementeren. Dolby werd op 26 juni 2025 door Project Zero geïnformeerd; Googles Pixel-team ontving patches op 8 oktober 2025 en paste ze op 5 januari 2026 toe. Samsung was de eerste Android‑fabrikant die de kwetsbaarheid oploste (12 november 2025).