Смартфоны, планшеты и даже машины. В чипах Qualcomm нашли уязвимость, которую почти невозможно устранить

«Лаборатория Касперского» сообщила об аппаратной уязвимости в чипсетах Qualcomm Snapdragon, которая может привести к компрометации устройств и утечке данных. Проблема затрагивает как пользовательские, так и промышленные устройства, включая смартфоны, планшеты, автомобильные компоненты и устройства интернета вещей.

Уязвимость находится в BootROM, загрузочной прошивке, встроенной на аппаратном уровне. Результаты исследования эксперты Kaspersky ICS CERT представили на конференции Black Hat Asia 2026.

Атака требует физического доступа к устройству. Для успешной компрометации злоумышленнику нужно подключить устройство кабелем к своему оборудованию, а в случае современных смартфонов также может потребоваться перевод в специальный режим. В отдельных случаях небезопасным может оказаться даже подключение к недоверенным USB-портам, например к зарядным станциям в аэропортах или отелях.

При успешной атаке злоумышленники потенциально могут получить доступ к данным, хранящимся на устройстве, а также к таким компонентам, как камера и микрофон, реализовать сложные атаки и в отдельных случаях получить полный контроль над устройством.

Уязвимость затрагивает чипсеты Qualcomm серий MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 и SDX50. «Лаборатория Касперского» сообщила производителю об обнаруженной проблеме в марте 2025 года, а в апреле 2025 года Qualcomm подтвердила ее наличие. Вендор присвоил уязвимости идентификатор CVE-2026-25262. Исследователи также отметили, что потенциально уязвимыми могут быть и чипсеты других производителей, если они основаны на чипсетах Qualcomm перечисленных серий.

В ходе исследования специалисты изучили протокол Qualcomm Sahara, низкоуровневую систему взаимодействия, которая используется при переводе устройства в режим экстренной загрузки EDL. Такой режим применяют при ремонте или перепрошивке устройств. Протокол Sahara позволяет компьютеру подключаться к устройству и загружать программное обеспечение еще до запуска операционной системы.

Исследователи продемонстрировали, что уязвимость в процессе загрузки может позволить злоумышленнику обойти ключевые механизмы защиты, скомпрометировать цепочку доверенной загрузки и в ряде случаев установить вредоносное ПО или бэкдоры в процессор приложений устройства. Такая атака, в свою очередь, может привести к полной компрометации устройства. Если речь идет о смартфоне или планшете, установленный бэкдор может дать доступ к вводимым пользователем паролям, а затем к файлам, контактам, данным о местоположении, а также к камере и микрофону.

Эксперты отдельно указали на риск атак на цепочки поставок. Потенциальному злоумышленнику достаточно нескольких минут физического доступа к устройству, чтобы скомпрометировать его. По этой причине после ремонта смартфона или даже после нескольких минут без присмотра уже нельзя быть уверенным, что устройство не заражено. Риск, как отмечают исследователи, не ограничивается повседневными ситуациями. Новое устройство может оказаться зараженным еще до покупки, если компрометация произошла на одном из этапов цепочки поставок.

Наиболее сложным этапом остается разработка эксплойта. После этого сама атака может выполняться достаточно быстро и не требует от злоумышленника с физическим доступом к устройству какой-либо технической подготовки.

Сергей Ануфриенко, эксперт Kaspersky ICS CERT, пояснил, что подобные уязвимости могут использоваться для установки вредоносного ПО, которое трудно обнаружить и удалить. По его словам, такая компрометация позволяет злоумышленникам незаметно собирать данные или долго влиять на работу устройства. Обычная перезагрузка, как отметил эксперт, помогает не всегда, поскольку скомпрометированная система может лишь имитировать перезапуск без фактической перезагрузки. Гарантированно очистить состояние устройства в такой ситуации можно только полным отключением питания, например после полной разрядки аккумулятора.