{"id":30747,"date":"2026-06-10T09:00:47","date_gmt":"2026-06-10T07:00:47","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30747"},"modified":"2026-06-08T12:01:44","modified_gmt":"2026-06-08T10:01:44","slug":"qualcomm-cve-2026-25262","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/qualcomm-cve-2026-25262\/30747\/","title":{"rendered":"Vulnerabilit\u00e0 Qualcomm: le riparazioni dei telefoni e la manutenzione dell’auto non sono pi\u00f9 sicure"},"content":{"rendered":"

Immagina di mandare lo smartphone in riparazione. Un paio di giorni dopo, lo raccogli e\u2026 fantastico: funziona di nuovo! Ma non ti accorgerai nemmeno che nel dispositivo \u00e8 stato iniettato codice dannoso, consentendo agli utenti malintenzionati di accedere allo smartphone anche quando \u00e8 bloccato.<\/p>\n

Questo \u00e8 l\u2019inizio della storia condivisa dai ricercatori di Kaspersky ICS CERT, Alexander Kozlov e Sergey Anufrienko, alla conferenza Black Hat Asia 2026<\/a>. Sono riusciti a scoprire una vulnerabilit\u00e0 che ribalta i presupposti convenzionali sulla sicurezza degli smartphone e dell\u2019IoT. Il suo nucleo risiede nel cuore dei chip Qualcomm.<\/p>\n

Cos\u2019\u00e8 lo spyware?<\/h2>\n

Per capire la gravit\u00e0 di questa scoperta, dobbiamo prima esaminare come si avvia un moderno dispositivo dotato di chip Qualcomm. Pensala come una fortezza con pi\u00f9 livelli di sicurezza. Ogni livello successivo verifica l\u2019abbonamento emesso dal precedente. La base fondamentale (lo strato pi\u00f9 affidabile di tutti) \u00e8 la BootROM, una memoria di sola lettura integrata direttamente nel silicio che non pu\u00f2 essere modificata una volta estratta dalla fabbrica<\/a>.<\/p>\n

La BootROM \u00e8 la prima cosa in assoluto da eseguire all\u2019accensione di un dispositivo. Verifica la firma del bootloader successivo, che a sua volta verifica il successivo, creando una catena di attendibilit\u00e0 fino al sistema operativo. Se un utente malintenzionato pu\u00f2 compromettere questa catena a livello di BootROM, il gioco finisce: il codice dannoso verr\u00e0 eseguito prima ancora che il sistema operativo principale abbia la possibilit\u00e0 di caricarsi.<\/p>\n

Questo \u00e8 esattamente ci\u00f2 che possono fare gli autori degli attacchi sfruttando la vulnerabilit\u00e0 CVE-2026-25262<\/a> scoperta dai ricercatori di Kaspersky ICS CERT.<\/p>\n

La modalit\u00e0 di download di emergenza come punto di ingresso<\/h2>\n

La ricerca \u00e8 iniziata con un protocollo chiamato Sahara. Si tratta di un componente della Modalit\u00e0 download di emergenza (EDL). Produttori e centri di assistenza lo utilizzano per rilanciare i dispositivi in muratura: il telefono \u00e8 connesso a un computer tramite USB e viene caricato uno speciale programma di utilit\u00e0 firmato dal produttore (in questo caso Qualcomm).<\/p>\n

Sahara viene implementato direttamente all\u2019interno di ARM PBL (Primary Boot Loader), ovvero la BootROM stessa. Ci\u00f2 significa che il protocollo viene eseguito prima dell\u2019avvio di qualsiasi sistema operativo, prima della verifica dei privilegi di accesso dell\u2019utente e prima dell\u2019attivazione dei controlli di sicurezza. Il dispositivo attende semplicemente una connessione USB, pronto ad accettare i dati.<\/p>\n

Lo schema di comunicazione sembra semplice: il dispositivo invia una stretta di mano (HELLO) al computer, il computer seleziona la modalit\u00e0, inizia un ciclo per caricare il programma di utilit\u00e0 in blocchi e, infine, il dispositivo esegue il codice caricato. Ed \u00e8 stato all\u2019interno della logica di verifica di questi blocchi di file che \u00e8 stata identificata la vulnerabilit\u00e0.<\/p>\n

Write-what-where: il nucleo della vulnerabilit\u00e0<\/h2>\n

In termini tecnici, il bug introdotto dagli sviluppatori \u00e8 classificato come CWE-123: Write-What-Where Condition. \u00c8 il peggiore dei casi quando si tratta di difetti nella programmazione di basso livello. Un utente malintenzionato pu\u00f2 scrivere dati arbitrari in un indirizzo arbitrario nella memoria del dispositivo.<\/p>\n

Senza addentrarci nei meandri tecnici, \u00e8 sufficiente dire che, sfruttando la vulnerabilit\u00e0 scoperta, gli utenti malintenzionati possono accedere a qualsiasi dato presente nel dispositivo, comprese password inserite dall\u2019utente, file, contatti, dati di geolocalizzazione, nonch\u00e9 i sensori hardware come la fotocamera e il microfono. In determinati scenari \u00e8 possibile il controllo completo del dispositivo. Pochi minuti di accesso fisico al dispositivo tramite una connessione via cavo e il gadget \u00e8 stato compromesso. Questo comporta un rischio se si manda lo smartphone in assistenza, se lo si passa a qualcun altro per la configurazione e l\u2019installazione delle app o se semplicemente lo si lascia incustodito.<\/p>\n

Quali dispositivi sono interessati<\/h2>\n

La vulnerabilit\u00e0 CVE-2026-25262 interessa le seguenti serie di chip Qualcomm: MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 e SDX50: ogni singola versione rilasciata fino ad oggi, fino a quando la vulnerabilit\u00e0 non viene corretta dal produttore.<\/p>\n

Non si tratta di pezzi da museo obsoleti. L\u2019MDM9207, che abbiamo utilizzato per la maggior parte della nostra ricerca, \u00e8 integrato in moduli modem per Internet of Things (IoT), apparecchiature industriali, dispositivi per le smart home, sistemi di monitoraggio sanitario, localizzatori logistici e terminali bancari. L\u2019MSM8916 \u00e8 alla base di molti smartphone economici<\/a>, mentre l\u2019SDX50 \u00e8 utilizzato nelle unit\u00e0 di controllo per autoveicoli.<\/p>\n

Modalit\u00e0 di attacco dei dispositivi vulnerabili<\/h2>\n

Il problema \u00e8 che l\u2019utente malintenzionato ha bisogno dell\u2019accesso fisico al dispositivo per ottenere questo risultato. Nel mondo reale, questo si traduce in:<\/p>\n