ช่องโหว่ Zero-click exploit chain ที่เพิ่งถูกเปิดเผย ซึ่งมุ่งเป้าไปที่ Google Pixel 10 ได้สร้างความกังวลเกี่ยวกับความปลอดภัยในระดับ Low-level security ของ Android
นักวิจัยจาก Google Project Zero ได้แสดงให้เห็นว่าผู้โจมตีสามารถเจาะเข้าถึงอุปกรณ์ และยกระดับสิทธิ์ไปเป็นระดับ root ได้โดยไม่ต้องมีการโต้ตอบใด ๆ จากผู้ใช้ โดยใช้เพียงช่องโหว่ 2 รายการ
การโจมตีครั้งนี้ต่อยอดจากงานวิจัยก่อนหน้านี้ที่มุ่งเป้าไปยังอุปกรณ์ Pixel 9 ซึ่งเป็นช่องโหว่ของ Dolby Media Framework (CVE-2025-54957) ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ได้
สำหรับ Pixel 10 นักวิจัยสามารถนำ Entry point เดิมมาดัดแปลงใช้งานได้สำเร็จโดยส่วนใหญ่เป็นเพียงการคำนวณ Memory offsets ใหม่สำหรับไลบรารี Dolby ที่ได้รับการอัปเดตไปแล้ว
อย่างไรก็ตาม การเจาะระบบมีความซับซ้อนเพิ่มขึ้นเล็กน้อย เนื่องจากใน Pixel 10 เพิ่มการนำระบบ Return Address Pointer Authentication (RET PAC) มาใช้ ซึ่งเข้ามาแทนที่กลไกการป้องกัน Stack แบบดั้งเดิม
เนื่องจากเป้าหมายที่มักจะถูกเขียนทับตามปกติ (__stack_chk_fail) ไม่สามารถใช้งานได้อีกต่อไป นักวิจัยจึงได้ค้นพบฟังก์ชันทางเลือกอื่น นั่นคือ dap_cpdp_init ซึ่งสามารถ hijack ได้อย่างปลอดภัยโดยไม่ส่งผลกระทบต่อความเสถียรของระบบ
ทำให้การเจาะระบบแบบ zero-click ยังคงสามารถใช้งานได้บนอุปกรณ์ที่ยังไม่ได้รับการแพตช์แก้ไข ในชุดอัปเดตความปลอดภัยที่ปล่อยออกมาก่อนเดือนธันวาคม 2025
New Privilege Escalation Path
ในขณะที่การเจาะระบบในขั้นตอนแรกยังคงคล้ายเดิม แต่ขั้นตอนการยกระดับสิทธิ์นั้นจำเป็นต้องใช้แนวทางใหม่
Pixel 10 ไม่มีไดรเวอร์ BigWave ที่มีช่องโหว่ ซึ่งเคยถูกใช้ในการโจมตีครั้งก่อน ๆ อีกต่อไป แต่นักวิจัยค้นพบช่องโหว่ระดับ critical ในไดรเวอร์ตัวใหม่ที่เพิ่งถูกนำมาใช้งาน ซึ่งอยู่ที่ /dev/vpu
ไดรเวอร์นี้ทำหน้าที่เชื่อมต่อการทำงานกับหน่วยประมวลผลวิดีโอ Chips&Media Wave677DV บนชิป Tensor G5 ของ Google
ในระหว่างการตรวจสอบเบื้องต้น นักวิจัยจาก Project Zero ได้ค้นพบช่องโหว่รุนแรงในฟังก์ชัน memory mapping ของไดรเวอร์
- ผู้โจมตีสามารถ request ทำ memory mapping ในขนาดที่ใหญ่เกินกำหนดได้
- ไดรเวอร์ไม่ได้ตรวจสอบ หรือบังคับใช้ boundaries บนพื้นที่หน่วยความจำที่ถูก map ไว้
- ส่งผลให้พื้นที่ขนาดใหญ่ของ physical memory ถูกเปิดเผย ซึ่งรวมถึง kernel space ด้วย
เนื่องจาก Kernel ของ Android ถูกโหลดที่ตำแหน่ง Physical address ที่สามารถคาดเดาได้บนอุปกรณ์ Pixel ผู้โจมตีจึงสามารถระบุตำแหน่ง และเขียนทับโครงสร้างข้อมูลที่สำคัญของ Kernel ได้โดยตรง
ส่งผลให้สามารถเข้าถึง Kernel เพื่ออ่าน และเขียนข้อมูลในหน่วยความจำของเคอร์เนลได้อย่างอิสระ
นักวิจัยระบุว่า การเจาะเข้าควบคุม Kernel ได้นั้นใช้โค้ดเพียงไม่กี่บรรทัด ซึ่งทำให้ช่องโหว่นี้สามารถถูกโจมตีได้ง่ายอย่างผิดปกติเมื่อเทียบกับช่องโหว่ของ Kernel โดยทั่วไป
เมื่อนำช่องโหว่ zero-click ของ Dolby มาใช้งานร่วมกับช่องโหว่ของไดรเวอร์ VPU ผู้โจมตีจะสามารถ
- สั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องอาศัยการโต้ตอบจากผู้ใช้
- ยกระดับสิทธิ์ไปจนถึงระดับ root
- เข้าควบคุมอุปกรณ์ได้
ในสถานการณ์จริง malicious media file สามารถเป็น exploit ในขั้นตอนแรกได้ ตามมาด้วยการแทรกแซงการทำงานของ Kernel เพื่อปิดระบบควบคุมความปลอดภัย หรือฝังมัลแวร์ได้
Patch and Mitigations
ช่องโหว่นี้ได้รับการรายงานเมื่อวันที่ 24 พฤศจิกายน 2025 และถูกจัดให้อยู่ในระดับความรุนแรงสูง
Google ได้ดำเนินการแก้ไขช่องโหว่ดังกล่าวภายในระยะเวลา 71 วัน โดยปล่อยแพตช์ออกมาในชุดอัปเดตความปลอดภัย Android ประจำเดือนกุมภาพันธ์ 2026 ซึ่งถือเป็นการพัฒนาที่ดีขึ้นอย่างเห็นได้ชัดในแง่ของระยะเวลาการตอบสนอง เมื่อเทียบกับช่องโหว่ของไดรเวอร์ต่าง ๆ ในอดีต
แม้จะมีการแก้ไขปัญหาที่รวดเร็วขึ้น แต่ผลการตรวจสอบเหล่านี้ก็ยังคงชี้ให้เห็นถึงช่องโหว่ที่ยังคงมีอยู่อย่างต่อเนื่องในการพัฒนาไดรเวอร์ของ Android
เป็นที่น่าสังเกตว่า ไดรเวอร์ VPU ที่มีช่องโหว่ดังกล่าวถูกพัฒนาโดยทีมงานเดียวกันกับที่รับผิดชอบไดรเวอร์ BigWave ซึ่งเคยมีช่องโหว่มาก่อนหน้านี้ ซึ่งแสดงให้เห็นถึงช่องโหว่ที่เกิดขึ้นซ้ำรอยในเรื่องแนวปฏิบัติสำหรับการเขียนโค้ดอย่างปลอดภัย และกระบวนการตรวจสอบ
Project Zero เน้นย้ำว่า แม้การออกแพตช์แก้ไขได้รวดเร็วขึ้นจะเป็นทิศทางที่ดี แต่การป้องกันไม่ให้ช่องโหว่ในลักษณะนี้หลุดรอดไปถึงเวอร์ชัน Production นั้นยังคงเป็นสิ่งสำคัญอย่างยิ่ง
งานวิจัยนี้เน้นย้ำให้เห็นว่า แม้ช่องโหว่เพียงเล็กน้อยในไดรเวอร์ฮาร์ดแวร์ ก็สามารถนำไปสู่การถูกเจาะ และเข้าควบคุมระบบได้ ซึ่งเป็นการตอกย้ำถึงความจำเป็นที่จะต้องมีการตรวจสอบด้านความปลอดภัยที่เข้มงวดมากยิ่งขึ้นทั่วทั้ง Ecosystem ของ Android
ที่มา : Cybersecuritynews
You must be logged in to post a comment.