Zero‑click en Android y iOS: basta con un «solo escucha» para comprometerlos
Un solo mensaje de voz puede desbloquear un teléfono sin necesidad de tocarlo
El equipo Google Project Zero divulgó una vulnerabilidad crítica en el decodificador Dolby DDPlus Unified Decoder, que permite la ejecución de código arbitrario en dispositivos Android sin intervención del usuario. La vulnerabilidad recibió el identificador CVE-2025-54957 y consiste en un error de escritura fuera del área de memoria asignada al procesar datos de audio.
El problema se produce por un desbordamiento entero al calcular la longitud del búfer en el que el decodificador escribe los datos. Como resultado se asigna un bloque de memoria demasiado pequeño y la protección contra accesos fuera de límites deja de funcionar. Esto permite a un atacante corromper estructuras en memoria, incluidos punteros usados al analizar el siguiente syncframe.
En dispositivos Android la vulnerabilidad resulta especialmente peligrosa debido a cómo funciona la plataforma. El sistema decodifica automáticamente todos los mensajes y archivos de audio entrantes —incluidos los de mensajería RCS— para transcribirlos, sin esperar la acción del usuario. Los investigadores de Project Zero aprovecharon esto y consiguieron la ejecución de código en el contexto mediacodec en un Pixel 9 ejecutando la versión de firmware 16 BP2A.250605.031.A2. De este modo, el ataque se convierte en un ataque sin interacción, es decir, no requiere ninguna acción por parte del propietario del dispositivo.
Durante las pruebas, Google confirmó la posibilidad de provocar un fallo (SIGSEGV) también en Samsung S24 con la versión S921U1UES4AYB3, y además detectó que el código vulnerable está presente en MacBook Air M1 (macOS Tahoe 26.0.1) y en iPhone 17 Pro (iOS 26.0.1). Sin embargo, en estas plataformas no se ha confirmado la ejecución de código, probablemente debido a mecanismos adicionales de validación previa de los archivos de audio.
También está afectada la plataforma ChromeOS, donde la vulnerabilidad fue corregida en la actualización del 18 de septiembre de 2025. Una corrección similar fue publicada por Microsoft.
Para demostrar el ataque, los investigadores prepararon el archivo dolby_android_crash.mp4, que se puede insertar en un mensaje de audio. Basta con reemplazar el archivo temporal en la caché del mensajero RCS (/data/user/0/com.google.android.apps.messaging/cache/mediascratchspace/) por el mp4 falso usando ADB, tras lo cual el envío del mensaje provocará el fallo del proceso C2 en el dispositivo víctima.
En Project Zero subrayan que el problema se divulgó dentro de la política estándar de notificación pública de 90 días. Aunque inicialmente se indicó como fecha límite el 24 de septiembre de 2025, la fecha definitiva se consideró el 25 de septiembre, teniendo en cuenta las zonas horarias. El informe del error se hizo público 30 días después de la salida de las actualizaciones, como exigen las normas de divulgación de vulnerabilidades (documento Google Project Zero).
La investigación sobre la posible explotación continúa, y Google promete publicar todos los detalles técnicos del ataque sin interacción una vez concluido el análisis.
¿Estás cansado de que Internet sepa todo sobre ti?