Исследователи "Лаборатории Касперского" обнаружили критическую аппаратную уязвимость в чипсетах Qualcomm Snapdragon, которая позволяет злоумышленнику получить полный контроль над устройством. Результаты исследования были представлены на конференции Black Hat Asia 2026, и эта новость мгновенно привлекла внимание специалистов по кибербезопасности по всему миру.
Уязвимость CVE-2026-25262
Проблема кроется в BootROM - загрузочной прошивке, встроенной на аппаратном уровне. Эта брешь затрагивает целый ряд популярных чипсетов, которые используются в смартфонах, планшетах, устройствах интернета вещей (IoT) и даже автомобильной электронике. Речь идёт о сериях MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 и SDX50. При этом в "Лаборатории Касперского" подчёркивают, что потенциально уязвимыми могут быть и чипсеты других вендоров, основанные на указанных моделях Qualcomm.
Уязвимости присвоен идентификатор CVE-2026-25262. Специалисты компании сообщили производителю о найденной бреши ещё в марте 2025 года, а в апреле того же года Qualcomm подтвердил её наличие. Технически проблема классифицируется как CWE-123 - условие "запись по произвольному адресу" (Write-what-where Condition). Это означает, что атакующий может записать произвольные данные в произвольную область памяти, что открывает путь к обходу механизмов защиты.
Ключевая особенность данной уязвимости - для её эксплуатации требуется физический доступ к целевому устройству. Злоумышленнику необходимо подключить смартфон или планшет к своему оборудованию, в некоторых случаях переведя гаджет в специальный режим загрузки. Однако, как отмечают исследователи, в ряде сценариев потенциально опасным может быть даже подключение к недоверенным USB-портам - например, на зарядных станциях в аэропортах или отелях. Атака требует высокой квалификации, и её сложность оценивается как высокая, но при успешной реализации последствия могут быть катастрофическими.
Проблема связана с протоколом Qualcomm Sahara, который используется в режиме аварийной загрузки (EDL). Исследователи продемонстрировали, что уязвимость позволяет обойти механизмы защиты и нарушить цепочку доверенной загрузки. Это особенно опасно, поскольку BootROM является самым низкоуровневым компонентом загрузочного процесса, и компрометация на этом этапе даёт злоумышленнику максимальные привилегии в системе.
Что именно может сделать атакующий при успешной эксплуатации уязвимости? Список возможностей впечатляет: получить доступ к данным пользователя, установить вредоносное программное обеспечение или бэкдор, перехватывать пароли и отслеживать местоположение, управлять камерой и микрофоном. В отдельных случаях речь идёт о полном контроле над устройством. При этом вредоносное ПО может сохраняться даже после перезагрузки, что делает его обнаружение крайне сложной задачей. В "Лаборатории Касперского" предупреждают, что в ряде случаев единственный способ гарантированно очистить устройство - полностью отключить питание, например дождавшись разрядки аккумулятора.
По шкале CVSS v3.1 уязвимость получила 6,4 балла - это средний уровень критичности, однако такой показатель обусловлен главным образом требованием физического доступа и высокой сложностью атаки. При этом три показателя ущерба - конфиденциальность, целостность и доступность - оценены как высокие. Это означает, что в случае успешной атаки злоумышленник может нанести максимальный ущерб по всем трём направлениям.
Эксперты отмечают, что риск не ограничивается бытовыми сценариями. Устройство может быть скомпрометировано, например, во время ремонта или даже на этапе поставки. Представьте ситуацию: вы отдаёте смартфон в сервисный центр, а недобросовестный мастер использует эту уязвимость для внедрения вредоносного ПО. Или устройство перехватывается на пути от производителя к покупателю. Эти сценарии выглядят вполне реальными, особенно если учесть, что атака не требует взаимодействия с пользователем.
Исследователи из "Лаборатории Касперского" Александр Козлов и Сергей Ануфриенко, обнаружившие уязвимость, рекомендуют несколько мер предосторожности. Во-первых, следует обращать внимание на аномалии в поведении устройства, например на неожиданный нагрев корпуса, когда гаджет не используется. Во-вторых, необходимо соблюдать строгий физический контроль над устройствами - не оставлять их без присмотра в общественных местах, избегать подключения к недоверенным USB-портам, быть внимательными при передаче техники в ремонт.
Между тем важно понимать, что данная уязвимость не является массовой угрозой для обычных пользователей. Атака требует высокой квалификации, специального оборудования и физического доступа к устройству. Однако для определённых категорий граждан - политиков, журналистов, руководителей крупных компаний - риск может быть существенным. Противник, обладающий достаточными ресурсами, вполне способен использовать такую уязвимость для целевой атаки.
В "Лаборатории Касперского" подчёркивают, что подобные аппаратные уязвимости особенно опасны именно потому, что они лежат на самом низком уровне абстракции. Программные патчи могут исправить ошибки в операционной системе или приложениях, но когда брешь обнаруживается в BootROM, исправление возможно только путём обновления прошивки, что не всегда доступно для старых устройств. В некоторых случаях единственным решением становится замена аппаратной платформы.
Ситуация также осложняется тем, что уязвимость затрагивает чипсеты, которые устанавливались в миллионы устройств по всему миру на протяжении нескольких лет. Производители смартфонов и IoT-устройств, использовавшие эти модели Qualcomm, теперь должны выпустить обновления прошивок для своих продуктов. Однако для многих устройств интернета вещей, которые работают в усечённой среде без возможности удалённого обновления, эта задача может оказаться невыполнимой.
Можно предположить, что наиболее уязвимыми окажутся именно IoT-устройства и автомобильная электроника. Если смартфоны обычно получают обновления в течение двух-трёх лет, то бюджетные планшеты или умные датчики могут оставаться без поддержки производителя на протяжении всего срока службы. В автомобильной электронике ситуация ещё сложнее: замена чипсета в блоке управления требует физического вмешательства и часто не предусмотрена на этапе проектирования.
Таким образом, обнаружение CVE-2026-25262 становится важным напоминанием о том, что безопасность начинается на аппаратном уровне. Какими бы совершенными ни были программные средства защиты, уязвимость в BootROM сводит на нет все усилия. Для специалистов по информационной безопасности эта новость означает необходимость пересмотреть подходы к физической безопасности устройств и, возможно, внедрить дополнительные механизмы мониторинга на уровне загрузчика. Для обычных пользователей главный урок прост: не подключайте устройство к незнакомым USB-портам и не передавайте его в ремонт непроверенным мастерам.
