Dolby Digital Plus (DDP) ses kod çözme yazılımında, saldırganların görünüşte zararsız sesli mesajlar yoluyla kötü amaçlı kodları uzaktan yürütmesine olanak tanıyan kritik bir sıfır tıklama güvenlik açığı ortaya çıktı.
Google Project Zero’dan Ivan Fratric ve Natalie Silvanovich, ses dosyalarındaki evrim verilerini işleyen DDPlus Birleşik Kod Çözücüde sınırların dışında bir yazma hatası tespit etti.
Bu hata, uzunluk hesaplamalarındaki tamsayı taşmasından kaynaklanıyor ve bu da arabellek tahsisinin gereğinden küçük olmasına neden oluyor. Sonuç olarak, sonraki yazma işlemleri sınır kontrollerini atlar ve potansiyel olarak bir sonraki senkronizasyon çerçevesinde işlenen işaretçiler de dahil olmak üzere anahtar yapı üyelerinin üzerine yazılır.
Sorun, kod çözücüyü çalıştıran cihazları etkiliyor ve otomatik ses işleme nedeniyle Android kullanıcıları için ciddi sonuçlar doğuruyor.
Yakın zamanda yayınlanan bir hata raporunda ayrıntıları verilen güvenlik açığı, modern mesajlaşma uygulamalarının kullanıcıları farkında olmadan nasıl uzaktan kod yürütmeye (RCE) maruz bıraktığını vurguluyor. Android’de kusur, herhangi bir kullanıcı etkileşimi olmadan saldırılara olanak sağlıyor.
Gelen RCS (Zengin İletişim Hizmetleri) sesli mesajları ve eklerinin kodu, transkripsiyon amacıyla yerel olarak çözülür ve hata arka planda sessizce tetiklenir.
Android Cihazlarda Potansiyel Suistimal
Google Mesajlar uygulaması ve benzer istemciler, ses içeriğini proaktif olarak işlemek için DDPlus kod çözücüyü kullandığından Android cihazlar özellikle risk altındadır.
Saldırganlar, .ec3 veya .mp4 biçimindekiler gibi kötü amaçlı ses dosyaları oluşturabilir ve bunları RCS aracılığıyla gönderebilir. Hedefin cihazı bir kez alındıktan sonra dosyayı otomatik olarak işler ve potansiyel olarak C2 (Codec 2.0) sürecinde bir çökmeye veya daha kötüsü, daha fazla istismar edilirse rastgele kod yürütülmesine yol açar.
Test uzmanları için çoğaltma kolaydır: “dolby_android_crash.mp4” gibi özel hazırlanmış bir dosyayı gönderen cihazdaki mesajlaşma uygulamasının önbelleğine gönderip bir RCS sesli mesajı başlattığınızda, hedef cihaz alındıktan sonra çöker.
Araştırmacılar, biri 32 bit sistemleri, diğeri 64 bit Android’i hedefleyen örnek bit akışları sağladı. Dosyayı açmak veya oynatmak gibi herhangi bir kullanıcı eylemi gerekmediğinden, bu kullanım kolaylığı aciliyetin altını çiziyor.
Gerçek dünya senaryolarında, kimlik avı kampanyaları veya mesajlaşma yoluyla yapılan hedefli saldırılar, bunu veri hırsızlığı, kötü amaçlı yazılım yerleştirme veya cihazın ele geçirilmesi için silah haline getirebilir.
Bu rapor itibarıyla yamalar belirsizliğini korusa da Android kullanıcılarının cihazlarını ve mesajlaşma uygulamalarını derhal güncellemeleri tavsiye ediliyor. Google henüz yorum yapmadı ancak 90 günlük açıklama süresi 24 Eylül 2025’te sona erdi ve ayrıntılar kamuoyuna açıklandı.
Kusur Android’in ötesine uzanıyor; kod analizi, macOS uygulamalarındaki varlığını ortaya koyuyor ancak ön işleme adımları burada istismarı engelleyebilir.
Araştırmacılar, iOS veya akıllı TV’ler ve yayın cihazları gibi diğer Dolby entegreli sistemler üzerindeki potansiyel etkiler de dahil olmak üzere, etkilenen platformları araştırmaya devam ediyor.
Gelişmiş ses özellikleri için tasarlanan DDP’deki devrim verilerinin işlenmesi, bu durumda ironik bir şekilde kötüye kullanım vektörüne dönüşüyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
