先日、Google Pixel 9に対するエクスプロイトチェーンを公開し、ゼロクリックのコンテキストからわずか2つのエクスプロイトでAndroidのroot権限を取得できることを実証しました。Dolbyのゼロクリック脆弱性は、2026年1月にパッチが適用されるまで、すべてのAndroidに存在していました。Pixel 9用のエクスプロイトチェーンはありましたが、Pixel 10でも同様のエクスプロイトチェーンを作成できるかを確認したかったのです。Dolbyエクスプロイトの更新Pixel 9でターゲットとしたライブラリの特定のバージョンに合わせて計算されたオフセットを、Pixel 10用のライブラリの類似のオフセットに更新することが、CVE-2025-54957のエクスプロイトの変更の大部分を占め、比較的簡単でした。唯一の課題（どのsyncframeにオフセットが含まれているかをより良く文書化しておけばよかったという願望以外）は、Pixel 10が-fstack-protectorの代わりにRET PACを使用しており、__stack_chk_failをコードで上書きできないことでした。試行錯誤の結果、デコーダーが初期化されるときに一度だけ呼び出され、その後は決して呼び出されない初期化コードであるdap_cpdp_initを使用しました。これは機能的な問題を引き起こすことなく上書きできます。