Представьте: вы сдаете смартфон в ремонт. Через пару дней забираете — и ура, он снова работает! Но вы даже не узнаете, что в ваше устройство уже внедрен вредоносный код, а злоумышленники смогут получить доступ даже к заблокированному смартфону.
Именно с этого начинается история, которую исследователи Kaspersky ICS CERT Александр Козлов и Сергей Ануфриенко рассказали на конференции Black Hat Asia 2026. Обнаруженная ими уязвимость переворачивает привычные представления о безопасности смартфонов и устройств интернета вещей. Ее суть — в самом сердце чипов Qualcomm.
Почему это серьезно
Чтобы понять серьезность находки, сначала нужно разобраться в том, как загружается современное устройство на чипе Qualcomm. Представьте защищенную крепость с несколькими уровнями охраны. На каждом следующем уровне проверяют пропуск, выданный предыдущим. Самый нижний — фундамент и база, самый доверенный уровень — BootROM, постоянная память, вшитая в кремний и недоступная для изменения после производства.
BootROM запускается первым при включении устройства. Он проверяет подпись следующего загрузчика, тот — следующего, и так выстраивается цепочка доверия вплоть до операционной системы. Если злоумышленник может сломать эту цепочку на уровне BootROM — игра окончена: код будет исполняться раньше, чем основная ОС успеет загрузиться.
Именно это и позволяет делать обнаруженная исследователями Kaspersky ICS CERT уязвимость.
Cуть уязвимости
Допущенная разработчиками ошибка классифицирована как CWE-123: Write-What-Where Condition — «запиши что угодно куда угодно». Это один из наиболее опасных классов ошибок в низкоуровневом программировании. Атакующий получает возможность записать произвольные данные по произвольному адресу в памяти устройства.
Не вдаваясь в технические подробности, скажем, что, используя найденную уязвимость, атакующие могут получить доступ к любым данным на устройстве, включая введенные пользователем пароли, файлы, контакты, геолокацию, а также к сенсорам устройства — камере и микрофону. В некоторых сценариях возможно получение полного контроля над устройством. Для компрометации гаджета требуется всего несколько минут физического доступа к устройству через кабельное подключение. Риск возникает, например, если вы сдаете смартфон в сервис, передаете его для настройки и установки приложений третьим лицам или просто оставляете ненадолго без присмотра.
Какие устройства затронуты
Уязвимость CVE-2026-25262 затрагивает серии чипов Qualcomm: MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 и SDX50 — все версии, выпущенные на сегодняшний день, до момента устранения ошибки производителем.
Это не устаревшие «музейные» чипы. MDM9207, на котором мы проводили основную часть исследования, используется в модемных модулях для интернета вещей, промышленного оборудования, устройств умного дома, систем мониторинга в здравоохранении, в логистических трекерах и банковских терминалах. MSM8916 стоит во многих бюджетных смартфонах, а SDX50 используется в автомобильных блоках управления.
Как атакуют уязвимые устройства
Ключевое ограничение уязвимости: для ее успеха требуется физический доступ к устройству. В реальной жизни — это:
- ремонт смартфона в неавторизованном сервисном центре (телефон оставляют на несколько часов);
- таможенный контроль в ряде стран, где устройства конфисковываются, проверяются и возвращаются;
- кража и возврат устройства — телефон «теряется» и «находится»;
- корпоративный шпионаж через инсайдера или подставного сотрудника.
Получив на несколько минут доступ к устройству, атакующий может внедрить бэкдор на таком уровне, что никакой инструмент исследователя в большинстве случаев его не обнаружит.
Как защититься
Исправить уже выпущенные устройства невозможно в принципе, все последующие чипы компания Qualcomm обещала выпустить уже без этой уязвимости.
Если у вас на руках устройство с уязвимым чипом, воспользуйтесь нашими советами, которые помогут снизить риск заражения.
- Применяйте строгий физический контроль: не оставляйте устройство без присмотра, особенно в поездках и командировках.
- Выбирайте для ремонта и обслуживания только авторизованные сервисные центры.
- Регулярно обновляйте прошивку — это не закроет BootROM-уязвимость, но может устранить многие связанные уязвимости на более высоких уровнях.
- Используйте на устройстве надежную защиту. Так вы обезопасите свой гаджет от прочих угроз, которые вкупе с уязвимостью могут привести к непредсказуемым последствиям.
Если же вы заметили аномалии в поведении своего гаджета с уязвимым Qualcomm-чипом — перегрев без нагрузки, неожиданный рост сетевого трафика, странное поведение приложений — вероятно, вы стали жертвой этой уязвимости. Избавиться от вредоносного кода и вернуть свое устройство к исходному состоянию возможно, полностью обесточив его — нужно либо извлечь аккумулятор, либо дождаться, пока он разрядится до нуля, а гаджет полностью отключится. В таком случае вредоносный код, вероятнее всего, не сохранится в устройстве: в ходе исследования нам не удалось подтвердить возможность его закрепления в энергонезависимой памяти устройства.