Androidtelefoons waren maandenlang kwetsbaar voor een zeroclick-aanval, waarbij toestellen zonder gebruikersinteractie volledig konden worden gecompromitteerd. Google Project Zero meldt dat er inmiddels updates zijn voor de twee kwetsbaarheden die deze aanval mogelijk maakten. Het kan echter nog enige tijd duren voordat alle Androidtoestellen de patches ontvangen.

Android ondersteunt audiotranscriptie, waarbij audiobijlagen via sms of rcs automatisch worden gedecodeerd door Google Messages. Aanvallers kunnen dit misbruiken door schadelijke audiobijlagen te sturen. Een onderzoeker ontdekte een kwetsbaarheid in de Dolby Unified Decoder, die Android gebruikt voor het decoderen van bepaalde audioformaten. Via het lek (CVE-2025-54957) kan een aanvaller code uitvoeren binnen de mediacodec. Een andere kwetsbaarheid werd gevonden in de BigWave driver, onderdeel van Pixel-telefoons, waarmee een aanvaller zijn rechten kan verhogen (CVE-2025-36934). Volgens de onderzoekers zijn drivers een zwakke plek van Android. Sinds 2023 zijn zestien verschillende driver-lekken gebruikt in aanvallen. Beide kwetsbaarheden werden snel gevonden, en slechts twee lekken waren nodig om via een zeroclick-aanval kernelrechten te verkrijgen. De onderzoekers zijn kritisch op de tijd die het duurde voordat de kwetsbaarheden werden gepatcht. Het Dolby-lek werd op 26 juni vorig jaar gemeld, maar pas op 5 januari gepatcht door Google. Samsung patchte het lek op 12 november 2025. Het duurde 139 dagen voordat een patch beschikbaar was, en Pixel had 54 dagen langer nodig. De BigWave-kwetsbaarheid werd op 20 juni gemeld en op 6 januari gepatcht. Details werden al op 19 september openbaar gemaakt. Updates voor het Dolby-lek zijn beschikbaar, maar het kan even duren voordat alle gebruikers deze ontvangen. Het lek kon niet op macOS of iOS worden misbruikt.