Уязвимость Qualcomm: ремонт смартфона и автомобиля больше не безопасны

Представьте: вы сдаете смартфон в ремонт. Через пару дней забираете — и ура, он снова работает! Но вы даже не узнаете, что в ваше устройство уже внедрен вредоносный код, а злоумышленники смогут получить доступ даже к заблокированному смартфону.

Именно с этого начинается история, которую исследователи Kaspersky ICS CERT Александр Козлов и Сергей Ануфриенко рассказали на конференции Black Hat Asia 2026. Обнаруженная ими уязвимость переворачивает привычные представления о безопасности смартфонов и устройств интернета вещей. Ее суть — в самом сердце чипов Qualcomm.

Что такое BootROM

Чтобы понять серьезность находки, сначала нужно разобраться в том, как загружается современное устройство на чипе Qualcomm. Представьте защищенную крепость с несколькими уровнями охраны. На каждом следующем уровне проверяют пропуск, выданный предыдущим. Самый нижний — фундамент и база, самый доверенный уровень — BootROM, постоянная память, вшитая в кремний и недоступная для изменения после производства.

BootROM запускается первым при включении устройства. Он проверяет подпись следующего загрузчика, тот — следующего, и так выстраивается цепочка доверия вплоть до операционной системы. Если злоумышленник может сломать эту цепочку на уровне BootROM — игра окончена: код будет исполняться раньше, чем основная ОС успеет загрузиться.

Именно это и позволяет делать обнаруженная исследователями Kaspersky ICS CERT уязвимость CVE-2026-25262.

Режим экстренной загрузки как точка входа

Исследование началось с протокола под названием Sahara. Это компонент Emergency Download Mode (EDL), то есть «режима экстренной загрузки». Производители и сервисные центры используют его, когда нужно восстановить устройство с «окирпиченной» прошивкой: телефон подключается к компьютеру по USB и на него загружается специальная служебная программа, подписанная производителем (в данном случае — Qualcomm).

Sahara реализован прямо в ARM PBL — Primary Boot Loader, том самом BootROM. Это значит, что протокол работает до запуска любой операционной системы, до проверки каких-либо прав доступа пользователя, до включения любой защиты. Устройство просто ждет подключения по USB и после этого готово принимать данные.

Схема обмена выглядит просто: устройство присылает компьютеру приветствие (HELLO), компьютер выбирает режим, начинается цикл загрузки служебной программы по частям и в конце устройство запускает загруженный код. Именно в логике проверки этих частей файла и была выявлена уязвимость.

«Запиши что угодно куда угодно»: суть уязвимости

Допущенная разработчиками ошибка классифицирована как CWE-123: Write-What-Where Condition — «запиши что угодно куда угодно». Это один из наиболее опасных классов ошибок в низкоуровневом программировании. Атакующий получает возможность записать произвольные данные по произвольному адресу в памяти устройства.

Не вдаваясь в технические подробности, скажем, что, используя найденную уязвимость, атакующие могут получить доступ к любым данным на устройстве, включая введенные пользователем пароли, файлы, контакты, геолокацию, а также к сенсорам устройства — камере и микрофону. В некоторых сценариях возможно получение полного контроля над устройством. Для компрометации гаджета требуется всего несколько минут физического доступа к устройству через кабельное подключение. Риск возникает, например, если вы сдаете смартфон в сервис, передаете его для настройки и установки приложений третьим лицам или просто оставляете ненадолго без присмотра.

Какие устройства затронуты

Уязвимость CVE-2026-25262 затрагивает следующие серии чипов Qualcomm: MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 и SDX50 — все версии, выпущенные на сегодняшний день, до момента устранения ошибки производителем.

Это не устаревшие «музейные» чипы. MDM9207, на котором мы проводили основную часть исследования, используется в модемных модулях для интернета вещей, промышленного оборудования, устройств умного дома, систем мониторинга в здравоохранении, в логистических трекерах и банковских терминалах. MSM8916 стоит во многих бюджетных смартфонах, а SDX50 используется в автомобильных блоках управления.

Как атакуют уязвимые устройства

Ключевое ограничение уязвимости: для эксплуатации требуется физический доступ к устройству. В реальной жизни — это:

• ремонт смартфона в неавторизованном сервисном центре (телефон оставляют на несколько часов);
• таможенный контроль в ряде стран, где устройства конфисковываются, проверяются и возвращаются;
• кража и возврат устройства — телефон «теряется» и «находится»;
• корпоративный шпионаж через инсайдера или подставного сотрудника.

Получив на несколько минут доступ к устройству, атакующий может внедрить бэкдор на таком уровне, что никакой инструмент исследователя в большинстве случаев его не обнаружит.

Почему патча не существует — и что делать

Qualcomm был уведомлен о находке в марте 2025 года и подтвердил наличие уязвимости в своих чипах. Для ее идентификации вендор зарезервировал CVE-2026-25262, а 20 апреля 2026 года Kaspersky ICS CERT опубликовал техническую информацию по уязвимости и рекомендации для пользователей.

Qualcomm включил эту уязвимость в майский бюллетень безопасности. И хотя исправить уже выпущенные устройства невозможно в принципе, все последующие чипы компания обещала выпустить уже без этой уязвимости.

Если у вас на руках устройство с уязвимым чипом, воспользуйтесь нашими советами, которые помогут снизить риск заражения.

• Применяйте строгий физический контроль: не оставляйте устройство без присмотра, особенно в поездках и командировках.
• Выбирайте для ремонта и обслуживания только авторизованные сервисные центры.
• Регулярно обновляйте прошивку — это не закроет BootROM-уязвимость, но может устранить многие связанные уязвимости на более высоких уровнях.
• Используйте на устройстве надежную защиту. Так вы обезопасите свой гаджет от прочих угроз, которые вкупе с уязвимостью могут привести к непредсказуемым последствиям.

Если же вы заметили аномалии в поведении своего гаджета с уязвимым Qualcomm-чипом — перегрев без нагрузки, неожиданный рост сетевого трафика, странное поведение приложений — вероятно, вы стали жертвой этой уязвимости. Избавиться от вредоносного кода и вернуть свое устройство к исходному состоянию возможно, полностью обесточив его — нужно либо извлечь аккумулятор, либо дождаться, пока он разрядится до нуля, а гаджет полностью отключится. В таком случае вредоносный код, вероятнее всего, не сохранится в устройстве: в ходе исследования нам не удалось подтвердить возможность его закрепления в энергонезависимой памяти устройства.

Еще больше материалов про серьезные уязвимости в Android-смартфонах:

• Как работает атака SNI5GECT на 5G-связь и чем она угрожает абонентам
• Как работает A-GPS в смартфоне и следит ли за вами Qualcomm
• Что такое уязвимость Pixnapping и как защитить свой Android-смартфон
• Кража фото и данных смартфона через USB-зарядку при помощи ChoiceJacking
• Triada: троян, предустановленный на Android-смартфоны «из коробки»