Специалисты Kaspersky ICS CERT обнаружили уязвимость в чипсетах Qualcomm Snapdragon. Проблема найдена в загрузочной прошивке BootROM, встроенной на аппаратном уровне. Чипсеты этих серий используются повсеместно: в смартфонах, планшетах, автомобильных компонентах и IoT-девайсах.
Исследователи сообщают, что для эксплуатации уязвимости атакующему потребуется физический доступ к устройству: целевой девайс необходимо подключить кабелем к оборудованию злоумышленника. Также современным смартфонам может потребоваться перевод в специальный режим.
Отдельно отмечается, что в некоторых случаях подключение к недоверенному USB-порту (например, зарядной станции в аэропорту или отеле) тоже может сопровождаться риском.
В ходе исследования специалисты изучили протокол Qualcomm Sahara — низкоуровневую систему взаимодействия, которая отвечает за работу устройства в режиме экстренной загрузки (EDL). Этот режим восстановления применяют при ремонте или перепрошивке устройств: протокол Sahara позволяет компьютеру подключиться к девайсу и загрузить ПО еще до запуска операционной системы.
Исследователи продемонстрировали, что уязвимость в процессе загрузки дает возможность обойти ключевые механизмы защиты, скомпрометировать цепочку доверенной загрузки и в ряде случаев внедрить малварь или бэкдор в процессор приложений. В итоге злоумышленник потенциально получает доступ к вводимым паролям, файлам, контактам, геолокации, камере и микрофону.
Уязвимость получила идентификатор CVE-2026-25262. Она затрагивает чипсеты Qualcomm серий MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 и SDX50.
Эксперты уведомили представителей Qualcomm о своей находке в марте 2025 года, а в апреле вендор подтвердил наличие бага. При этом отмечается, что потенциально уязвимыми могут оказаться и чипсеты других производителей, построенные на базе указанных серий Qualcomm.
Кроме того, отдельный риск связан с атаками на цепочки поставок. Злоумышленнику хватит нескольких минут физического доступа, чтобы скомпрометировать девайс. Это означает, что после сдачи смартфона в ремонт или даже нескольких минут без присмотра нельзя гарантировать, что устройство не скомпрометировано. Хуже того — можно получить уже зараженный девайс «из коробки», если была скомпрометирована цепочка поставок.
«Подобные уязвимости могут использоваться для установки вредоносного ПО, которое сложно обнаружить и удалить. На практике это позволяет злоумышленникам незаметно собирать данные или влиять на работу устройства в течение длительного времени. При этом обычная перезагрузка не всегда помогает: скомпрометированная система может имитировать ее, не выполняя фактического перезапуска. Гарантированно очистить состояние устройства можно только при полном отключении питания — например, после полной разрядки аккумулятора», — комментирует Сергей Ануфриенко, эксперт Kaspersky ICS CERT.
