- Vulnerabilidade crítica em chips da Qualcomm, identificada como CVE-2026-25262, envolve o BootROM e pode expor dados do dispositivo e até permitir controle total, se explorada plenamente.
- A falha pode ser acionada apenas com acesso físico ao aparelho, via protocolo Sahara utilizado por reparos e serviços, sem necessidade de conexão remota.
- Chips afetados incluem MDM9x07 (Snapdragon X5 LTE), MDM9x45 (Snapdragon X12), MDM9x65 (Snapdragon X20), MSM8909 (Snapdragon 210), MSM8916 (Snapdragon 410), MSM8952 (Snapdragon 617) e SDX50 (controle automotivo).
- Dispositivos com esses processadores são antigos e, em muitos casos, já não recebem suporte da Qualcomm; ainda assim, tiveram alta circulação no mercado.
- A fabricante informou que vai produzir todos os futuros chips sem essa vulnerabilidade; por ora, não há relatos públicos de exploração bem-sucedida.
A vulnerabilidade encontrada pela Kaspersky afeta chips da Qualcomm e pode permitir acesso total a dados de um dispositivo, além do controle do aparelho, caso haja acesso físico. O problema, classificado como crítico, foi confirmado pela fabricante após a notificação recebida em março de 2025. A divulgação detalhada ocorreu mais de um ano depois.
A falha envolve o BootROM, memória de apenas leitura integrada ao chip que não pode ser alterada por atualizações. Com isso, a exploração pode ocorrer enquanto o dispositivo está ligado e em uso, dificultando a detecção por sistemas de proteção. O ataque utiliza o protocolo Sahara para recuperar aparelhos por meio de USB, abrindo espaço para código malicioso no processador.
A vulnerabilidade é classificada como Write-What-Where, permitindo escrita arbitrária de dados em endereços da memória. Segundo a Kaspersky, invasores podem acessar senhas, arquivos, contatos, dados de localização e até sensores como câmera e microfone, com potencial de controle total do dispositivo em cenários extremos.
Chips afetados e cenário de uso
Entre os processadores vulneráveis, a Kaspersky lista:
- MDM9x07 (Snapdragon X5 LTE)
- MDM9x45 (Snapdragon X12)
- MDM9x65 (Snapdragon X20)
- MSM8909 (Snapdragon 210)
- MSM8916 (Snapdragon 410)
- MSM8952 (Snapdragon 617)
- SDX50 (controle automotivo)
Esses componentes já são considerados defasados e com suporte interrompido pela Qualcomm, mas tiveram ampla circulação. Um exemplo é o MSM8916, usado em modelos como Moto G4 Play, Galaxy A3 e LG K10. O MDM9207 é comum em IoT, com aplicações industriais e de monitoramento.
A Qualcomm confirmou que pretende produzir futuros chips sem a vulnerabilidade. Até o momento não há relatos públicos de exploração bem-sucedida generalizada. Ainda assim, especialistas recomendam cautela com dispositivos antigos.
Riscos práticos e medidas de proteção
O risco depende de acesso físico ao aparelho, não sendo possível explorar o flaw remotamente. Ao menos alguns minutos de conexão USB são necessários para a instalação do código malicioso, segundo a Kaspersky. Em caso de interrupção de energia, o código pode ser removido.
Situações de maior risco incluem assistência técnica não autorizada, aparelhos devolvidos por terceiros ou incidents de espionagem corporativa com envolvimento de insiders. Sintomas de possível invasão incluem superaquecimento em repouso, tráfego de rede incomum e funcionamento anômalo de apps.
Para reduzir o risco, recomenda-se evitar manuseio por terceiros não autorizados, manter dispositivos fora de serviços técnicos não confiáveis e, sempre que possível, manter o dispositivo atualizado com patches oficiais da fabricante.
Entre na conversa da comunidade