지난 몇 년 동안, 사용자가 메시지를 더 잘 검색하고 이해할 수 있도록 하는 여러 AI 기반 기능이 휴대폰에 추가되었습니다. 이러한 변화의 한 가지 결과는 0-클릭 공격 표면의 증가입니다. 효율적인 분석을 위해서는 사용자가 메시지를 열기 전에 메시지 미디어를 디코딩해야 하는 경우가 많기 때문입니다. 그러한 기능 중 하나는 오디오 전사입니다. Google 메시지로 수신되는 SMS 및 RCS 오디오 첨부 파일은 이제 사용자 상호 작용 없이 자동으로 디코딩됩니다. 결과적으로 오디오 디코더는 이제 대부분의 Android 휴대폰의 0-클릭 공격 표면에 포함됩니다. 저는 이러한 디코더를 조사하는 데 상당한 시간을 할애했으며, 먼저 삼성 기기의 Monkey's Audio 코덱에서 CVE-2025-49415를 보고했습니다. 이 연구를 바탕으로 팀은 Dolby Unified Decoder를 검토했고, Ivan Fratric과 저는 CVE-2025-54957을 보고했습니다. 이 취약점은 오늘날 사용되는 대부분의 Android 기기의 0-클릭 공격 표면에 있을 가능성이 높습니다. 이와 병행하여 Seth Jenkins는 Pixel 9에서 디코더가 실행되는 샌드박스에서 접근 가능한 드라이버를 조사하고 CVE-2025-36934를 보고했습니다.