Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una vulnerabilità monitorata con il codice CVE-2026-25262 colpisce la BootROM dei chipset Snapdragon di Qualcomm , consentendo attacchi con accesso fisico che compromettono completamente i dispositivi. Gli aggressori possono installare malware persistenti, accedere ai dati sensiili e controllare microfono e fotocamera. Il rischio maggiore riguarda anche la supply chain e le USB pubbliche.
Kaspersky Lab ha segnalato una vulnerabilità hardware nei chipset Qualcomm Snapdragon che potrebbe portare alla compromissione totale dei dispositivi e alla fuga di dati. Il problema riguarda sia dispositivi di consumo che industriali, inclusi smartphone, tablet, componenti automobilistici e dispositivi IoT.
La vulnerabilità risiede nel BootROM, il firmware di avvio integrato nell’hardware. Gli esperti del Kaspersky ICS CERT hanno presentato le loro scoperte alla conferenza Black Hat Asia 2026.
L’attacco richiede l’accesso fisico al dispositivo. Per comprometterlo con successo, l’aggressore deve collegare il dispositivo alla propria apparecchiatura tramite un cavo e, nel caso degli smartphone moderni, ciò potrebbe richiedere anche l’attivazione di una modalità speciale.
In alcuni casi, anche il collegamento a porte USB non sicure, come quelle delle stazioni di ricarica negli aeroporti o negli hotel, può essere rischioso.
In caso di attacco riuscito, gli aggressori possono potenzialmente accedere ai dati memorizzati sul dispositivo, nonché a componenti come la fotocamera e il microfono, eseguire attacchi sofisticati e, in alcuni casi, ottenere il controllo completo del dispositivo.
La vulnerabilità interessa i chipset Qualcomm delle serie MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 e SDX50. Kaspersky Lab ha segnalato il problema al produttore nel marzo 2025 e Qualcomm ne ha confermato l’esistenza nell’aprile 2025. Il fornitore ha assegnato alla vulnerabilità l’identificativo CVE-2026-25262. I ricercatori hanno inoltre osservato che anche i chipset di altri produttori potrebbero essere potenzialmente vulnerabili se basati su chipset Qualcomm delle serie sopra menzionate.
Nel corso dello studio, i ricercatori hanno esaminato il protocollo Qualcomm Sahara, un sistema di comunicazione di basso livello utilizzato per avviare un dispositivo in modalità di avvio di emergenza (EDL). Questa modalità viene utilizzata durante le riparazioni o la riprogrammazione dei dispositivi. Il protocollo Sahara consente a un computer di connettersi al dispositivo e caricare il software prima ancora che il sistema operativo si avvii.
I ricercatori hanno dimostrato che una vulnerabilità durante il processo di avvio può consentire a un utente malintenzionato di aggirare meccanismi di sicurezza fondamentali, compromettere la catena di avvio affidabile e, in alcuni casi, installare malware o backdoor nel processore applicativo del dispositivo. Un simile attacco, a sua volta, può portare alla completa compromissione del dispositivo. Se il dispositivo è uno smartphone o un tablet, la backdoor installata potrebbe fornire accesso alle password inserite dall’utente e, successivamente, a file, contatti, dati di geolocalizzazione, nonché alla fotocamera e al microfono.
Gli esperti hanno evidenziato in particolare il rischio di attacchi alla catena di approvvigionamento. Un potenziale aggressore ha bisogno solo di pochi minuti di accesso fisico a un dispositivo per comprometterlo. Pertanto, dopo che uno smartphone è stato riparato o anche solo lasciato incustodito per pochi minuti, non si può più essere certi che sia esente da infezioni. Il rischio, come sottolineano i ricercatori, non si limita alle situazioni quotidiane. Un nuovo dispositivo potrebbe essere infetto anche prima dell’acquisto se compromesso in qualche punto della catena di approvvigionamento.
La fase più difficile rimane lo sviluppo dell’exploit. Dopodiché, l’attacco vero e proprio può essere eseguito in tempi relativamente brevi e non richiede alcuna formazione tecnica da parte di un attaccante con accesso fisico al dispositivo.
Sergey Anufrienko, esperto del Kaspersky ICS CERT, ha spiegato che tali vulnerabilità possono essere sfruttate per installare malware difficili da rilevare e rimuovere. Ha precisato che queste compromissioni consentono agli aggressori di raccogliere dati in modo furtivo o di esercitare un’influenza a lungo termine sul funzionamento del dispositivo. Un semplice riavvio, ha osservato l’esperto, non è sempre efficace, poiché un sistema compromesso può solo simulare un riavvio senza effettivamente riavviarsi. L’unico modo garantito per ripristinare lo stato del dispositivo in una situazione del genere è spegnerlo completamente, ad esempio dopo che la batteria si è completamente scaricata.
