Эксперты Kaspersky ICS CERT обнаружили аппаратную уязвимость в чипсетах Qualcomm Snapdragon, применяемых в смартфонах, планшетах, автомобильных системах и устройствах интернета вещей. Как рассказали в «Лаборатории Касперского», уязвимость находится в загрузочной прошивке BootROM, встроенной на аппаратном уровне.
Она позволяет злоумышленникам получить доступ к данным и компонентам устройства при физическом подключении. Атака возможна через USB-кабель и в ряде случаев требует перевода устройства в специальный режим.
Уязвимость затрагивает чипсеты серий MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 и SDX50. В «Лаборатории Касперского» пояснили, что производителю сообщили об обнаруженной бреши в марте 2025 года, а в апреле 2025 года тот подтвердил наличие уязвимости, присвоив ей идентификатор CVE-2026-25262. Эксперты подчеркнули, что потенциально уязвимыми могут быть и чипсеты других вендоров, которые основаны на чипсетах Qualcomm обозначенных серий.
Исследователи продемонстрировали, что уязвимость может быть использована для установки трояна, способного перехватывать пароли, файлы, контакты и данные о местоположении, а также получать доступ к камере и микрофону. Полностью очистить устройство от заражения можно только при полном отключении питания, например, после полной разрядки аккумулятора. В «Лаборатории» отметили:
Потенциальному злоумышленнику достаточно нескольких минут физического доступа к устройству, чтобы скомпрометировать его. Таким образом, если сдать смартфон в ремонт или оставить его на несколько минут без присмотра, уже нельзя быть уверенным, что он не заражён.
Эксперты пояснили, что риск не ограничивается сценариями повседневного использования — можно получить новое устройство сразу заражённым, если была скомпрометирована цепочка поставок.
