Prima di procedere
Il panorama della sicurezza informatica globale è stato recentemente scosso da una rivelazione tecnica di altissimo profilo durante la prestigiosa conferenza Black Hat Asia 2026. Gli esperti di Kaspersky hanno infatti presentato i risultati di una ricerca approfondita che ha portato alla luce una vulnerabilità hardware critica all'interno dei diffusissimi chipset Qualcomm Snapdragon. Questa falla, identificata ufficialmente con la sigla CVE-2026-25262, non riguarda un semplice bug software risolvibile con una patch superficiale, ma tocca le fondamenta stesse del funzionamento del processore, permettendo a un malintenzionato di compromettere l'intera catena di avvio fidata (Trusted Boot) del dispositivo.
Al centro della scoperta risiede una debolezza strutturale nel protocollo Qualcomm Sahara, un sistema di comunicazione proprietario utilizzato dai dispositivi quando entrano in modalità di emergenza, nota come Emergency Download Mode (EDL). Questa modalità è essenziale per le operazioni di assistenza tecnica, il ripristino di dispositivi bloccati e la riscrittura del firmware (un-bricking). Tuttavia, proprio questa porta di servizio, se manipolata correttamente tramite un accesso fisico, consente di iniettare codice malevolo prima ancora che il sistema operativo, sia esso Android o sistemi proprietari per l'automotive, inizi a caricarsi. Il rischio è enorme: la possibilità di installare backdoor direttamente a livello di processore rende l'attacco virtualmente invisibile ai comuni antivirus e persistente anche dopo un ripristino dei dati di fabbrica.
Le serie di chipset colpite sono numerose e spaziano su diverse generazioni di prodotti, inclusi i modelli MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 e il modem SDX50. Sebbene alcuni di questi componenti siano considerati datati, la loro presenza è ancora massiccia in milioni di smartphone, tablet e, cosa ancora più preoccupante, in sistemi telematici per automobili e infrastrutture industriali critiche. La notifica del problema a Qualcomm è avvenuta già nel marzo dello scorso anno, con una conferma ufficiale giunta nel mese di aprile, ma la complessità della risoluzione richiede un intervento profondo sulla BootROM, operazione che dipende dalla velocità dei singoli produttori come Samsung, Xiaomi e altri vendor nel distribuire aggiornamenti firmware specifici.
Le modalità di attacco descritte da Sergey Anufrienko del Kaspersky ICS CERT evidenziano scenari inquietanti. Sebbene sia necessario un accesso fisico tramite cavo USB, il tempo richiesto per l'esecuzione del codice malevolo è di pochi minuti. Questo apre la strada a minacce silenziose negli aeroporti o negli hotel, dove le stazioni di ricarica pubbliche potrebbero essere state manomesse per eseguire il cosiddetto juice jacking. Ancora più grave è la prospettiva di un attacco alla supply chain: un dispositivo potrebbe essere infettato durante la fase di spedizione o durante una riparazione in un centro non autorizzato, giungendo nelle mani dell'utente finale già compromesso.
Una volta ottenuto il controllo, gli aggressori possono accedere senza restrizioni alla fotocamera, al microfono e ai dati sensibili dell'utente, monitorando ogni attività in tempo reale. Un aspetto particolarmente subdolo di questa vulnerabilità è la capacità del malware di simulare un riavvio del sistema senza che questo avvenga realmente, ingannando l'utente e mantenendo attiva l'infezione. Secondo gli esperti, l'unico modo per essere certi di aver interrotto il processo malevolo è attendere il completo scaricamento della batteria o forzare uno spegnimento totale dell'alimentazione hardware. In conclusione, sebbene non si tratti di un attacco remoto su vasta scala, la gravità della falla CVE-2026-25262 risiede nella sua profondità e nella difficoltà di rilevamento, richiedendo un'attenzione massima da parte delle aziende e degli utenti che operano in settori ad alta sicurezza.
