I ricercatori di Kaspersky ICS CERT hanno sollevato il velo su una vulnerabilità hardware critica che colpisce i chipset Qualcomm, componenti integrati in una pletora di dispositivi che spaziano dagli smartphone ai sistemi automotive, fino all’Internet of Things (IoT). La falla, identificata ufficialmente con il codice CVE-2026-25262, risiede nel BootROM, ovvero il firmware cablato direttamente nell’hardware del chip, rendendo la sua risoluzione estremamente complessa.
L’analisi tecnica si è concentrata sul protocollo Sahara, un sistema di comunicazione di basso livello che entra in gioco quando il processore viene avviato in modalità EDL (Emergency Download Mode). Questa modalità di ripristino è solitamente utilizzata dai centri assistenza per riparare o ripristinare il software del dispositivo. Sahara funge da primo ponte di collegamento tra un computer esterno e il chip, permettendo il caricamento del codice prima ancora che il sistema operativo principale venga eseguito. Manipolando questo processo, un utente malintenzionato con accesso fisico al dispositivo può bypassare le barriere di sicurezza integrate, compromettere la catena di avvio sicuro e installare backdoor persistenti direttamente nel processore applicativo.
Kaspersky scopre bug nei chip Qualcomm Snapdragon
L’impatto potenziale è importante: una volta ottenuto l’accesso tramite questa falla, un aggressore può monitorare i sensori di bordo, inclusi microfono e fotocamera, o sottrarre dati sensibili come contatti, posizione GPS e password inserite dall’utente. Kaspersky sottolinea che sono sufficienti pochi minuti di accesso fisico per compromettere irrimediabilmente la sicurezza dell’hardware. Questo scenario rende i dispositivi vulnerabili non solo in caso di smarrimento, ma anche durante semplici interventi di riparazione o soste prolungate in luoghi non custoditi. La minaccia si estende inoltre alla supply chain, dove i chip potrebbero essere infettati prima ancora di raggiungere il consumatore finale.
Tra i chipset confermati come vulnerabili figurano le serie Qualcomm MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 e SDX50 (tutti non proprio recenti), ma non si esclude che la lista possa allargarsi ad altri modelli basati sulle medesime architetture. Sebbene la vulnerabilità sia stata segnalata a Qualcomm nel marzo 2025 e riconosciuta nell’aprile dello stesso anno, la sua natura hardware complica la distribuzione di patch definitive per i dispositivi già in commercio.
Sergey Anufrienko, esperto di sicurezza di Kaspersky ICS CERT, ha lanciato un allarme specifico sulla persistenza del malware installabile tramite questa falla. I sistemi compromessi sono in grado di simulare un riavvio, dando all’utente l’illusione di una pulizia del sistema mentre il codice malevolo rimane attivo in background. L’unica contromisura realmente efficace per garantire un “riavvio pulito” è l’interruzione totale dell’alimentazione, che può richiedere lo scaricamento completo della batteria o il distacco fisico della stessa, laddove possibile. Kaspersky raccomanda alle aziende e agli utenti di mantenere un controllo fisico rigoroso sui dispositivi durante l’intero ciclo di vita, dall’approvvigionamento alla dismissione.