Android
Immagina di mandare lo smartphone in riparazione. Un paio di giorni dopo, lo raccogli e… fantastico: funziona di nuovo! Ma non ti accorgerai nemmeno che nel dispositivo è stato iniettato codice dannoso, consentendo agli utenti malintenzionati di accedere allo smartphone anche quando è bloccato.
Questo è l’inizio della storia condivisa dai ricercatori di Kaspersky ICS CERT, Alexander Kozlov e Sergey Anufrienko, alla conferenza Black Hat Asia 2026. Sono riusciti a scoprire una vulnerabilità che ribalta i presupposti convenzionali sulla sicurezza degli smartphone e dell’IoT. Il suo nucleo risiede nel cuore dei chip Qualcomm.
Cos’è lo spyware?
Per capire la gravità di questa scoperta, dobbiamo prima esaminare come si avvia un moderno dispositivo dotato di chip Qualcomm. Pensala come una fortezza con più livelli di sicurezza. Ogni livello successivo verifica l’abbonamento emesso dal precedente. La base fondamentale (lo strato più affidabile di tutti) è la BootROM, una memoria di sola lettura integrata direttamente nel silicio che non può essere modificata una volta estratta dalla fabbrica.
La BootROM è la prima cosa in assoluto da eseguire all’accensione di un dispositivo. Verifica la firma del bootloader successivo, che a sua volta verifica il successivo, creando una catena di attendibilità fino al sistema operativo. Se un utente malintenzionato può compromettere questa catena a livello di BootROM, il gioco finisce: il codice dannoso verrà eseguito prima ancora che il sistema operativo principale abbia la possibilità di caricarsi.
Questo è esattamente ciò che possono fare gli autori degli attacchi sfruttando la vulnerabilità CVE-2026-25262 scoperta dai ricercatori di Kaspersky ICS CERT.
La modalità di download di emergenza come punto di ingresso
La ricerca è iniziata con un protocollo chiamato Sahara. Si tratta di un componente della Modalità download di emergenza (EDL). Produttori e centri di assistenza lo utilizzano per rilanciare i dispositivi in muratura: il telefono è connesso a un computer tramite USB e viene caricato uno speciale programma di utilità firmato dal produttore (in questo caso Qualcomm).
Sahara viene implementato direttamente all’interno di ARM PBL (Primary Boot Loader), ovvero la BootROM stessa. Ciò significa che il protocollo viene eseguito prima dell’avvio di qualsiasi sistema operativo, prima della verifica dei privilegi di accesso dell’utente e prima dell’attivazione dei controlli di sicurezza. Il dispositivo attende semplicemente una connessione USB, pronto ad accettare i dati.
Lo schema di comunicazione sembra semplice: il dispositivo invia una stretta di mano (HELLO) al computer, il computer seleziona la modalità, inizia un ciclo per caricare il programma di utilità in blocchi e, infine, il dispositivo esegue il codice caricato. Ed è stato all’interno della logica di verifica di questi blocchi di file che è stata identificata la vulnerabilità.
Write-what-where: il nucleo della vulnerabilità
In termini tecnici, il bug introdotto dagli sviluppatori è classificato come CWE-123: Write-What-Where Condition. È il peggiore dei casi quando si tratta di difetti nella programmazione di basso livello. Un utente malintenzionato può scrivere dati arbitrari in un indirizzo arbitrario nella memoria del dispositivo.
Senza addentrarci nei meandri tecnici, è sufficiente dire che, sfruttando la vulnerabilità scoperta, gli utenti malintenzionati possono accedere a qualsiasi dato presente nel dispositivo, comprese password inserite dall’utente, file, contatti, dati di geolocalizzazione, nonché i sensori hardware come la fotocamera e il microfono. In determinati scenari è possibile il controllo completo del dispositivo. Pochi minuti di accesso fisico al dispositivo tramite una connessione via cavo e il gadget è stato compromesso. Questo comporta un rischio se si manda lo smartphone in assistenza, se lo si passa a qualcun altro per la configurazione e l’installazione delle app o se semplicemente lo si lascia incustodito.
Quali dispositivi sono interessati
La vulnerabilità CVE-2026-25262 interessa le seguenti serie di chip Qualcomm: MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 e SDX50: ogni singola versione rilasciata fino ad oggi, fino a quando la vulnerabilità non viene corretta dal produttore.
Non si tratta di pezzi da museo obsoleti. L’MDM9207, che abbiamo utilizzato per la maggior parte della nostra ricerca, è integrato in moduli modem per Internet of Things (IoT), apparecchiature industriali, dispositivi per le smart home, sistemi di monitoraggio sanitario, localizzatori logistici e terminali bancari. L’MSM8916 è alla base di molti smartphone economici, mentre l’SDX50 è utilizzato nelle unità di controllo per autoveicoli.
Modalità di attacco dei dispositivi vulnerabili
Il problema è che l’utente malintenzionato ha bisogno dell’accesso fisico al dispositivo per ottenere questo risultato. Nel mondo reale, questo si traduce in:
- Riparazioni smartphone presso centri assistenza di terze parti, dove il telefono viene lasciato per diverse ore
- Controlli doganali in alcuni paesi, dove i dispositivi vengono trattenuti, ispezionati e quindi restituiti
- Truffe oggetti ritrovati, in cui il telefono viene rubato, manomesso e quindi misteriosamente ritrovato
- Spionaggio aziendale tramite un insider o un dipendente malintenzionato
Con pochi minuti di accesso fisico al dispositivo un utente malintenzionato può creare una backdoor così in profondità che nella maggior parte dei casi gli strumenti di ricerca standard non la rileveranno.
Perché non ci sono patch e cosa fare
Qualcomm è stata informata della scoperta a marzo 2025 e ha confermato la vulnerabilità nei suoi chip. Per identificarlo, il fornitore ha riservato CVE-2026-25262 e il 20 aprile 2026 Kaspersky ICS CERT ha pubblicato informazioni tecniche sulla vulnerabilità e suggerimenti per gli utenti.
Qualcomm ha incluso questa vulnerabilità nel bollettino di maggio sulla sicurezza. Sebbene la riparazione dei dispositivi già realizzati sia fondamentalmente impossibile, l’azienda ha promesso di realizzare tutti i chip futuri privi di questa vulnerabilità.
Se attualmente possiedi un dispositivo con un chip interessato, utilizza i nostri suggerimenti di seguito per ridurre il rischio di infezione.
- Applica un rigoroso controllo fisico: non lasciare i dispositivi incustoditi, soprattutto quando sei in viaggio o in viaggio di lavoro.
- Scegli solo centri di assistenza autorizzati per le riparazioni e la manutenzione.
- Aggiorna regolarmente il firmware: questo non eliminerà la vulnerabilità della BootROM, ma può eliminare molte vulnerabilità correlate a livelli più alti.
- Usa una soluzione di protezione affidabile per tutti i dispositivi di casa. Questo salvaguarderà il dispositivo da altre minacce che, combinate con questa vulnerabilità, potrebbero portare a conseguenze imprevedibili.
Se notate che il dispositivo con un chip Qualcomm vulnerabile inizia a dare fastidio (surriscaldamento quando è inattivo, segnalazione di picchi imprevisti del traffico di rete o se l’app inizia a mostrare uno strano comportamento), è possibile che siate rimasti vittima di questa vulnerabilità. È possibile cancellare il codice dannoso e ripristinare il dispositivo allo stato di base semplicemente interrompendo completamente l’alimentazione. Ciò significa estrarre la batteria o lasciarla scaricare completamente fino a zero fino allo spegnimento completo del dispositivo. In questo caso, è molto probabile che il codice dannoso non persista nel dispositivo — durante la nostra ricerca, non siamo stati in grado di confermare che potesse raggiungere la persistenza nella memoria non volatile.
Volete saperne di più sulle vulnerabilità gravi nei telefoni Android? Consigliamo questi post:
Consigli