Una vulnerabilità hardware nelle famiglie di chipset Qualcomm più diffuse consente di bypassare il secure boot con accesso fisico. Non esiste correzione software.
Autore: Redazione SecurityOpenLab
I ricercatori di Kaspersky ICS CERT hanno presentato a Black Hat Asia 2026 una vulnerabilità che risiede nel BootROM, un'area di memoria a sola lettura incisa direttamente nel silicio durante la produzione dei chip di sette famiglie Qualcomm (MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 e SDX50) presenti in smartphone, tablet, componenti automotive, dispositivi IoT e sistemi industriali. Kaspersky avverte che potrebbero essere vulnerabili anche altri chip basati su architettura Qualcomm. Tale componente fisico non si aggiorna, non si sostituisce, non si può toccare dopo la fabbricazione: se lì c'è un errore, resta per sempre.
Il bug è monitorato con la sigla CVE-2026-25262 e la classe di vulnerabilità è la CWE-123, denominata write-what-where condition, che identifica il tipo di falla in cui un attaccante riesce a scrivere (write) un valore arbitrario (what) in un indirizzo di memoria arbitrario (where) ed è considerata tra le primitive di exploit più potenti che esistano, perché conduce alla sovrascrittura di strutture dati critiche, puntatori a funzione o aree di codice protette, aprendo la strada all'esecuzione di codice arbitrario con i privilegi massimi disponibili nel sistema.
Nel caso specifico, la vulnerabilità si trova nel BootROM del chip Qualcomm e si manifesta durante una fase particolarmente delicata: la gestione del protocollo Sahara in modalità EDL (Emergency Download Mode). Quest’ultima è una modalità di recupero di emergenza integrata direttamente nel BootROM, pensata per i tecnici e per le fabbriche: quando uno smartphone non si avvia più o ha il firmware corrotto, il chip può essere forzato in questa modalità tramite combinazioni di tasti o cortocircuitando specifici punti di test sulla scheda. In modalità EDL, il dispositivo si presenta al computer come una periferica USB identificabile che attende istruzioni.
È qui che entra in gioco Sahara, un protocollo di basso livello che governa questa comunicazione iniziale e che opera prima di qualsiasi sistema operativo. Quando un chip è in modalità EDL, Sahara gestisce il primo dialogo tra il dispositivo e il computer collegato, autenticando e caricando in memoria il software necessario prima della fase di avvio. I ricercatori di Kaspersky hanno scoperto che l'implementazione di Sahara nel BootROM di queste famiglie di chip contiene una write-what-where condition: sfruttando questa finestra, un attaccante con accesso fisico al dispositivo può aggirare il meccanismo di secure boot e caricare ed eseguire codice arbitrario con i privilegi massimi del processore, prima che si attivi qualsiasi protezione del sistema operativo.
Comprendere questi passaggi tecnici è fondamentale per comprendere le conseguenze di un attacco che sfrutti questa vulnerabilità. Il secure boot è il meccanismo che garantisce l'integrità di ogni componente del sistema dalla prima istruzione eseguita dal chip: ogni stadio del processo di avvio verifica crittograficamente il successivo e se qualcosa non corrisponde il boot si blocca. Chi controlla questo meccanismo controlla sistema operativo, applicazioni, ambienti di esecuzione fidati, cifratura dello storage. Bypassare il secure boot a livello di BootROM significa operare in una posizione di privilegio da cui nessuna protezione software può rilevare o bloccare le azioni dell'attaccante. In questo scenario è possibile installare backdoor e malware nel processore applicativo del chip in modo da sopravvivere ai normali cicli di aggiornamento del firmware e ai riavvii, e da essere invisibili a qualsiasi analisi condotta a sistema avviato.
Kaspersky sottolinea che bastano pochi minuti di accesso fisico a un dispositivo per comprometterne la sicurezza in modo permanente. Uno smartphone lasciato incustodito, consegnato per una riparazione, confiscato in un controllo doganale, o passato per una supply chain non sufficientemente sorvegliata può essere trasformato in uno strumento di sorveglianza a totale insaputa del proprietario.
Un riavvio convenzionale non è sufficiente a rimuovere il malware installato a questo livello. Solo un'interruzione completa dell'alimentazione con scaricamento totale della batteria garantisce un ciclo di avvio pulito. E anche in quel caso, se il malware è stato scritto in una partizione persistente del chip, potrebbe non essere sufficiente per liberarsene. L’esempio che abbiamo riportato, per semplicità, riguardava uno smartphone, ma ricordiamo che i chipset interessati non sono solo nei telefoni consumer: si trovano in moduli IoT industriali, in componenti di connettività automotive, in dispositivi embedded che entrano nei sistemi produttivi e nelle infrastrutture critiche. In questi casi, un chip compromesso prima che il dispositivo finale raggiunga il cliente, in qualsiasi punto della filiera produttiva o logistica, porta con sé la vulnerabilità.
Non esiste una patch per una vulnerabilità nel BootROM. La correzione richiederebbe la revisione fisica del chip, che è impossibile dopo la produzione. Kaspersky raccomanda due categorie di azione. La prima è il controllo fisico rigoroso sui dispositivi: nelle fasi di approvvigionamento, durante la manutenzione e in quella di dismissione. Per le organizzazioni significa aggiungere i dispositivi basati sui chipset interessati agli asset che richiedono chain of custody documentata e accesso fisico controllato, come avviene per i server.
La seconda è il monitoraggio comportamentale, che consiste nel tenere sotto osservazione anomalie nel funzionamento dei dispositivi, tra cui surriscaldamento durante l'inattività, come potenziale indicatore di processi in esecuzione non visibili all'utente.