«Лаборатория Касперского» обнаружила уязвимость в чипсетах Snapdragon

Эксперты Kaspersky ICS CERT обнаружили аппаратную уязвимость в чипсетах Qualcomm Snapdragon, которые широко используются как в пользовательских, так и в промышленных устройствах — включая смартфоны, планшеты, автомобильные компоненты и устройства интернета вещей. Уязвимость находится в BootROM — загрузочной прошивке, встроенной на аппаратном уровне. Результаты исследования

были представлены на конференции Black Hat Asia 2026. Атака требует физического доступа к устройству — его необходимо подключить кабелем к оборудованию злоумышленника; для современных смартфонов также может потребоваться перевод в специальный режим. Для некоторых устройств даже может быть небезопасным подключение их к недоверенным USB-портам (например, зарядным станциям в аэропортах или отелях). В случае успешной

атаки злоумышленники потенциально могут получить доступ к данным, хранящимся на заражённом устройстве, а также к таким компонентам, как камера и микрофон, реализовывать сложные сценарии атак и в отдельных случаях получить полный контроль над устройством. Уязвимость затрагивает чипсеты Qualcomm серий MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 и SDX50. «Лаборатория Касперского» сообщила производителю об

обнаруженной бреши в марте 2025 года, а в апреле 2025 года тот подтвердил её наличие. Вендор присвоил уязвимости идентификатор CVE-2026-25262. Важно отметить, что потенциально уязвимыми могут быть и чипсеты других вендоров, которые основаны на чипсетах Qualcomm обозначенных серий. Исследователи «Лаборатории Касперского» изучили протокол Qualcomm Sahara —

низкоуровневую систему взаимодействия, используемую при переходе устройства в режим экстренной загрузки (EDL). Это специальный режим восстановления, используемый при ремонте или перепрошивке устройств. Протокол Sahara позволяет компьютеру подключаться к устройству и загружать ПО ещё до запуска на устройстве операционной системы. Исследователи продемонстрировали, что уязвимость в этом процессе загрузки может

позволить злоумышленнику обойти ключевые механизмы защиты, скомпрометировать цепочку доверенной загрузки и, в ряде случаев, установить вредоносное ПО или бэкдоры в процессор приложений устройства. Это, в свою очередь, может привести к полной компрометации устройства. Например, если речь идёт о смартфоне или планшете, злоумышленник при помощи установленного бэкдора может получить

доступ к вводимым пользователем паролям, а затем — к хранящимся на устройстве файлам, контактам, данным о местоположении, а также к камере и микрофону. От заражения конечных пользователей — к атакам на цепочки поставок. Потенциальному злоумышленнику достаточно нескольких минут физического доступа к устройству, чтобы скомпрометировать его. Таким образом, если сдать смартфон в ремонт или оставить его на несколько минут без присмотра, уже нельзя быть уверенным, что он не заражён. Эксперты

отмечают, что риск не ограничивается сценариями повседневного использования — можно получить новое устройство сразу заражённым, если была скомпрометирована цепочка поставок. Каким образом уязвимость может быть использована в реальных атаках. Наиболее сложным этапом

остаётся разработка эксплойта. Сама атака после этого может выполняться достаточно быстро и не требует от злоумышленника, имеющего физический доступ к устройству, какой-либо технической подготовки. «Подобные уязвимости могут использоваться для установки вредоносного ПО, которое сложно обнаружить и удалить. На практике это позволяет злоумышленникам незаметно собирать данные или влиять на работу устройства в течение длительного

времени. При этом обычная перезагрузка не всегда помогает: скомпрометированная система может имитировать её, не выполняя фактического перезапуска. В таких случаях гарантированно очистить состояние устройства можно только при полном отключении питания — например, после полной разрядки аккумулятора», — комментирует Сергей Ануфриенко, эксперт Kaspersky ICS CERT. Технические детали доступны по ссылке:

https://ics-cert.kaspersky.com/advisories/2026/04/20/qualcomm-chipsets-series-write-what-where-condition-vulnerability-in-bootrom/. О Kaspersky ICS CERT Kaspersky ICS CERT — это центр исследования безопасности промышленных систем и реагирования на инциденты информационной безопасности, созданный

«Лабораторией Касперского». Узнать больше можно на сайте https://ics-cert.kaspersky.ru/ The post «Лаборатория Касперского» обнаружила уязвимость в чипсетах Snapdragon appeared first on InfoCity.

Сообщает infocity.tech

 

Новость из рубрики: Технологии и Hi-Tech

 

Поделиться новостью:

 

Топ Новости Недели

• Термомаскировка будущего: инновационные накидки против тепловизоров, принципы работы, технологии и перспективы развития...
• Интеллектуальные системы зрения: проектирование, разработка и внедрение компьютерного анализа визуальных данных...
• Моторные масла REVLINE: полный экспертный разбор состава, технологий производства, эксплуатационных характеристик и роли в защите двигателя с углублением в современные тенденции смазочных материалов и автомобильной индустрии...
• Жилет с логотипом как инструмент визуальной идентичности, маркетинга и корпоративной культуры: от выбора материалов и дизайна до стратегического использования в бизнесе, рекламе и повседневной практике...
• Фланцы стальные глухие: подробный технический разбор, особенности конструкции, сферы применения, стандарты производства и роль в современных трубопроводных системах, включая инновации, безопасность и эксплуатационные нюансы...
• Феномен автомобиля «Тенет»: как концептуальная машина нового поколения объединяет инновационные технологии, интеллектуальные системы и философию движения, формируя представление о транспорте будущего и меняя подход к мобильности...
• Глубокий разбор и практическое руководство: как грамотно подготовить документы, избежать ошибок и успешно пройти процедуру участия в аукционе на право пользования недрами в условиях современной правовой и экономической среды...
• Открытый прикус и дикция...
• Обезвреживание медицинских отходов класса «Г» в Москве...
• Максимально подробное руководство по зеркалам на заказ любых размеров, форм и цветов: от идеи до реализации, дизайнерских решений и влияния на пространство интерьера...
• Відео-дошки оголошень в Україні як новий формат онлайн-комунікації: розвиток цифрових платформ, маркетингові можливості та майбутнє інтерактивних сервісів...
• Почему зимние шины Hankook считаются эталоном качества и надежности: технологии производства, безопасность движения и правильный выбор для сложных зимних условий...
• Визуальная и функциональная природа контекстной рекламы: как она выглядит, где размещается, как привлекает внимание и формирует современную цифровую экосистему маркетинга...
• Полный гид по стилям кухонь: как выбрать идеальный дизайн, сочетать эстетику и функциональность и создать гармоничное пространство для жизни и кулинарии...
• Почему профессиональный вывод из запоя становится ключевым этапом лечения: преимущества медицинской помощи, безопасная детоксикация и путь к полноценному восстановлению организма...
• Почему вызов нарколога на дом становится оптимальным решением: преимущества медицинской помощи, этапы лечения, восстановление организма и профилактика зависимости в современных условиях...
• Полное руководство по выводу из запоя в стационаре: этапы медицинской детоксикации, круглосуточное наблюдение, восстановление организма и долгосрочная реабилитация пациента...
• Глубокий разбор вывода из запоя: медицинская детоксикация, восстановление физического и психического состояния, профилактика рецидивов и возвращение к полноценной жизни...
• Зачем студенты пишут курсовые работы: роль научных исследований в образовании, развитие аналитического мышления и формирование профессиональных компетенций в процессе обучения...
• Штукатурка по газобетону: почему машинное нанесение — наиболее надежный способ соблюсти правильную паропроницаемость стен...