Эксперты Kaspersky ICS CERT обнаружили аппаратную уязвимость в чипсетах Qualcomm Snapdragon, которые широко используются как в пользовательских, так и в промышленных устройствах – включая смартфоны, планшеты, автомобильные компоненты и устройства интернета вещей. Уязвимость находится в BootROM – загрузочной прошивке, встроенной на аппаратном уровне. Результаты исследования были представлены на конференции Black Hat Asia 2026.
Атака требует физического доступа к устройству – его необходимо подключить кабелем к оборудованию злоумышленника; для современных смартфонов также может потребоваться перевод в специальный режим. Для некоторых устройств даже может быть небезопасным подключение их к недоверенным USB-портам (например, зарядным станциям в аэропортах или отелях). В случае успешной атаки злоумышленники потенциально могут получить доступ к данным, хранящимся на заражённом устройстве, а также к таким компонентам, как камера и микрофон, реализовывать сложные сценарии атак и в отдельных случаях получить полный контроль над устройством.
Уязвимость затрагивает чипсеты Qualcomm серий MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 и SDX50. «Лаборатория Касперского» сообщила производителю об обнаруженной бреши в марте 2025 года, а в апреле 2025 года тот подтвердил её наличие. Вендор присвоил уязвимости идентификатор CVE-2026-25262. Важно отметить, что потенциально уязвимыми могут быть и чипсеты других вендоров, которые основаны на чипсетах Qualcomm обозначенных серий.
Исследователи «Лаборатории Касперского» изучили протокол Qualcomm Sahara – низкоуровневую систему взаимодействия, используемую при переходе устройства в режим экстренной загрузки (EDL). Это специальный режим восстановления, используемый при ремонте или перепрошивке устройств.
Протокол Sahara позволяет компьютеру подключаться к устройству и загружать ПО ещё до запуска на устройстве операционной системы. Исследователи продемонстрировали, что уязвимость в этом процессе загрузки может позволить злоумышленнику обойти ключевые механизмы защиты, скомпрометировать цепочку доверенной загрузки и, в ряде случаев, установить вредоносное ПО или бэкдоры в процессор приложений устройства.
Это, в свою очередь, может привести к полной компрометации устройства. Например, если речь идёт о смартфоне или планшете, злоумышленник при помощи установленного бэкдора может получить доступ к вводимым пользователем паролям, а затем – к хранящимся на устройстве файлам, контактам, данным о местоположении, а также к камере и микрофону.
От заражения конечных пользователей – к атакам на цепочки поставок
Потенциальному злоумышленнику достаточно нескольких минут физического доступа к устройству, чтобы скомпрометировать его. Таким образом, если сдать смартфон в ремонт или оставить его на несколько минут без присмотра, уже нельзя быть уверенным, что он не заражён. Эксперты отмечают, что риск не ограничивается сценариями повседневного использования – можно получить новое устройство сразу заражённым, если была скомпрометирована цепочка поставок.
Каким образом уязвимость может быть использована в реальных атаках
Наиболее сложным этапом остаётся разработка эксплойта. Сама атака после этого может выполняться достаточно быстро и не требует от злоумышленника, имеющего физический доступ к устройству, какой-либо технической подготовки.
«Подобные уязвимости могут использоваться для установки вредоносного ПО, которое сложно обнаружить и удалить. На практике это позволяет злоумышленникам незаметно собирать данные или влиять на работу устройства в течение длительного времени. При этом обычная перезагрузка не всегда помогает: скомпрометированная система может имитировать её, не выполняя фактического перезапуска. В таких случаях гарантированно очистить состояние устройства можно только при полном отключении питания – например, после полной разрядки аккумулятора», – комментирует Сергей Ануфриенко, эксперт Kaspersky ICS CERT.
Технические детали доступны по ссылке: https://ics-cert.kaspersky.com/advisories/2026/04/20/qualcomm-chipsets-series-write-what-where-condition-vulnerability-in-bootrom/.