Kaspersky, Qualcomm Snapdragon tabanlı çiplerde, cihazın ele geçirilmesine ve hassas verilere erişilmesine yol açabilecek kritik bir güvenlik açığı tespit etti.
Şirketten yapılan açıklamaya göre, Kaspersky ICS CERT tarafından tespit edilen zafiyet, BootROM adlı düşük seviyeli "firmware" katmanında bulunuyor. Söz konusu açık, saldırganların cihazdaki verilere erişmesine, kamera ve mikrofon gibi bileşenleri kontrol etmesine ve bazı durumlarda cihaz üzerinde tam hakimiyet kurmasına davetiye çıkarıyor.
Black Hat Asia 2026 konferansında paylaşılan bulgulara göre, güvenlik açığı Qualcomm'un MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 ve SDX50 serisi çiplerini etkiledi.
Mart 2025'te şirkete bildirilen ve Nisan 2025'te doğrulanan açığa, CVE-2026-25262 kimliği verildi. Qualcomm tabanlı diğer çiplerin de söz konusu açıktan etkilenmiş olabileceği değerlendiriliyor.
Kaspersky araştırmacıları, Qualcomm çiplerinin Emergency Download Mode (EDL) olarak adlandırılan özel kurtarma moduna geçtiğinde kullanılan düşük seviyeli bir iletişim sistemi olan Sahara protokolünü inceledi. Bu protokol, cihazın işletim sistemi devreye girmeden önce bir bilgisayarın cihaza bağlanmasına ve yazılım yüklemesine olanak tanıyan ilk adımı oluşturuyor.
Analizler, bu aşamadaki güvenlik açığının, hedef cihaza fiziksel erişim sağlayan saldırganların çiplerin üzerindeki temel güvenlik mekanizmalarını atlatmasına, güvenli önyükleme zincirini (secure boot chain) devre dışı bırakmasına ve bazı durumlarda zararlı uygulamalar ile arka kapıları uygulama işlemcisine yerleştirerek cihazın kontrolünü tamamen ele geçirmesine imkan tanıyabileceğini ortaya koydu. Bu kapsamda saldırganlar, kullanıcı parolalarına erişebiliyor, dosyalar, kişiler, konum verileri ile kamera ve mikrofon gibi hassas bilgilere erişebilir.
Potansiyel bir saldırganın cihazı ele geçirmesi için yalnızca birkaç dakikalık fiziksel erişim yeterli olabiliyor. Bu nedenle, bir akıllı telefonun kısa süreliğine gözetimsiz bırakılması ya da onarım için gönderilmesi durumunda cihazın güvenliğinden tam olarak emin olmak mümkün olmayabilir.
Araştırmacılar, riskin yalnızca son kullanıcı senaryolarıyla sınırlı kalmadığını, tedarik zinciri süreçlerinde de cihazların tehlikeye girebileceğini vurguluyor.
- "Ele geçirilmiş sistemler, sistemi yeniden başlatılmış gibi gösterebilir"
Kaspersky ICS CERT güvenlik uzmanı Sergey Anufrienko, bu tür güvenlik açıklarının tespit edilmesi ve kaldırılmasının zor olan zararlı yazılımların cihaza yerleştirilmesine zemin hazırlayabileceğini belirtti.
Pratikte bu durum, uzun süre boyunca gizli veri toplama faaliyetlerine ya da cihaz davranışlarının manipüle edilmesine yol açabileceğine dikkati çeken Anufrienko, "Yeniden başlatma, bu tür zararlı yazılımları ortadan kaldırmak için etkili bir yöntem gibi görünse de her zaman yeterli olmayabilir. Ele geçirilmiş sistemler, gerçekte yeniden başlatma gerçekleşmeden sistemi yeniden başlatılmış gibi gösterebilir. Bu gibi durumlarda yalnızca cihazın tamamen enerjisiz kalması -bataryanın tamamen boşalması dahil- temiz bir başlangıcı garanti eder." ifadelerini kullandı.