Kaspersky ICS CERT ha individuato una vulnerabilità a livello hardware che interessa i chipset Qualcomm, ampiamente utilizzati in una vasta gamma di dispositivi consumer e industriali, tra cui smartphone e tablet, componenti automobilistici, dispositivi IoT e altro ancora. La vulnerabilità risiede nel BootROM, il firmware integrato a livello hardware. Gli aggressori potrebbero potenzialmente ottenere accesso a qualsiasi dato memorizzato sul dispositivo o ai suoi sensori, come fotocamera e microfono, attuare scenari di attacco complessi e, in alcune circostanze, assumere il pieno controllo del dispositivo.
La vulnerabilità riguarda le serie Qualcomm MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 e SDX50 ed è stata segnalata a Qualcomm nel marzo 2025. Qualcomm ha formalmente riconosciuto la vulnerabilità nell’aprile 2025, assegnandole il codice CVE-2026-25262. Potrebbero essere interessati anche altri chip basati su Qualcomm.
I ricercatori di Kaspersky hanno analizzato il protocollo Sahara, un sistema di comunicazione di basso livello utilizzato quando un chip Qualcomm entra in modalità EDL (Emergency Download Mode), una speciale modalità di ripristino progettata per riparare o ripristinare smartphone o altri dispositivi. Sahara rappresenta il primo passaggio che consente a un computer di connettersi al dispositivo e caricare il software prima dell’avvio del sistema operativo sul dispositivo stesso.
Kaspersky ha dimostrato che una vulnerabilità in questo processo potrebbe consentire a un aggressore con accesso fisico al dispositivo colpito di aggirare le principali protezioni di sicurezza integrate nel chip, compromettere la catena di avvio sicuro e, in alcuni casi, installare applicazioni dannose e backdoor nel processore applicativo del chip, compromettendo completamente l’intero dispositivo. Ad esempio, nei casi in cui il dispositivo di destinazione sia uno smartphone o un tablet, l’autore dell’attacco potrebbe potenzialmente ottenere accesso alle password inserite dall’utente, aprendo così un ulteriore accesso a diversi tipi di dati sensibili, quali file, contatti, posizione, oltre alla fotocamera e al microfono del dispositivo.
A un potenziale aggressore bastano pochi minuti di accesso fisico a un dispositivo per comprometterne la sicurezza. Di conseguenza, se uno smartphone è stato inviato in riparazione o lasciato incustodito per un breve periodo, non è più possibile essere certi che non sia stato infettato. I ricercatori avvertono che la minaccia va oltre gli scenari relativi agli utenti finali e comprende potenziali violazioni già nella fase della supply chain.
“Vulnerabilità come questa potrebbero consentire agli hacker di installare malware difficili da individuare e rimuovere. In pratica, questo potrebbe permettere la raccolta occulta di dati o influenzare il comportamento dei dispositivi per lunghi periodi di tempo. Sebbene il riavvio possa sembrare un modo efficace per rimuovere tale malware, non è sempre affidabile: i sistemi compromessi possono simulare un riavvio senza effettivamente resettarsi. In questi casi, solo un’interruzione completa dell’alimentazione, compreso l’esaurimento della batteria, garantisce un riavvio pulito”, ha commentato Sergey Anufrienko, Security Expert di Kaspersky ICS CERT.
Kaspersky raccomanda alle aziende e agli utenti privati di applicare rigorosi controlli di sicurezza fisica sui dispositivi, anche nelle fasi di approvvigionamento, manutenzione e dismissione. Un riavvio del dispositivo, ottenuto interrompendo l’alimentazione del chip interessato (se possibile), oppure lo scaricamento completo della batteria, può aiutare a eliminare il malware, qualora fosse stato installato.
