Android
Imagine entregar seu smartphone para conserto. Alguns dias depois, você o busca e, ótimo, ele voltou a funcionar! Mas você nem perceberá que um código malicioso foi inserido no seu dispositivo, permitindo que invasores acessem seu smartphone mesmo quando ele estiver bloqueado.
Essa é a introdução da história apresentada pelos pesquisadores do Kaspersky ICS CERT, Alexander Kozlov e Sergey Anufrienko, na conferência Black Hat Asia 2026. Eles descobriram uma vulnerabilidade que desafia as premissas convencionais sobre a segurança de smartphones e dispositivos IoT. O problema está no próprio núcleo dos chips da Qualcomm.
O que é o BootROM?
Para compreender a gravidade dessa descoberta, primeiro precisamos entender como um dispositivo moderno que utiliza um chip da Qualcomm é inicializado. Imagine uma fortaleza com múltiplas camadas de segurança. Cada camada subsequente verifica a autorização emitida pela anterior. A base de tudo, a camada mais confiável do sistema, é o BootROM, uma memória somente leitura incorporada diretamente ao silício que não pode ser modificada após sair da fábrica.
O BootROM é o primeiro componente a ser executado quando um dispositivo é ligado. Ele verifica a assinatura do próximo carregador de inicialização, que por sua vez verifica o seguinte, criando uma cadeia de confiança que se estende até o sistema operacional. Se um invasor conseguir comprometer essa cadeia no nível do BootROM, está tudo acabado: o código malicioso será executado antes mesmo de o sistema operacional principal ser carregado.
É exatamente isso o que os invasores podem fazer ao explorar a vulnerabilidade CVE-2026-25262, descoberta pelos pesquisadores do Kaspersky ICS CERT.
Modo de download de emergência como porta de entrada
A pesquisa teve início com um protocolo chamado Sahara. Trata-se de um componente do Modo de download de emergência (EDL). Ele é utilizado por fabricantes e centros de serviço para recuperar dispositivos inoperantes: o telefone é conectado a um computador via USB e um programa utilitário especial assinado pelo fabricante, neste caso a Qualcomm, é transferido para o dispositivo.
O Sahara é implementado diretamente no ARM PBL (Primary Boot Loader), ou seja, no próprio BootROM. Isso significa que o protocolo é executado antes da inicialização do sistema operacional, da verificação dos privilégios de acesso do usuário e da ativação dos controles de segurança. O dispositivo simplesmente aguarda uma conexão USB, pronto para receber dados.
O fluxo de comunicação parece simples: o dispositivo envia um handshake (HELLO) ao computador, o computador seleciona o modo, inicia-se um ciclo de transferência do programa utilitário em blocos e, por fim, o dispositivo executa o código carregado. E foi justamente na lógica de verificação desses blocos de dados que a vulnerabilidade foi identificada.
Write-what-where: a essência da vulnerabilidade
Em termos técnicos, o bug introduzido pelos desenvolvedores é classificado como CWE-123: Write-What-Where Condition. Trata-se de uma das falhas mais graves possíveis em programação de baixo nível. Ele permite que um invasor grave dados arbitrários em um endereço arbitrário na memória do dispositivo.
Sem entrar em muitos detalhes técnicos, basta dizer que, ao explorar a vulnerabilidade descoberta, os invasores conseguem acessar qualquer dado do dispositivo, incluindo senhas inseridas pelo usuário, arquivos, contatos, dados de geolocalização e até sensores de hardware, como câmera e microfone. Em determinados cenários, é possível obter controle total sobre o dispositivo. Bastam alguns minutos de acesso físico ao dispositivo por meio de uma conexão a cabo para que ele seja comprometido. Isso representa um risco caso você leve seu smartphone para conserto, entregue-o a outra pessoa para configuração e instalação de aplicativos ou simplesmente o deixe sem supervisão.
Quais dispositivos são afetados
A vulnerabilidade CVE-2026-25262 afeta as seguintes séries de chips da Qualcomm: MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 e SDX50, incluindo todas as versões lançadas até o momento, enquanto a vulnerabilidade não for corrigida pelo fabricante.
Esses chips estão longe de ser obsoletos. O MDM9207, usado na maior parte da nossa pesquisa, está integrado a módulos de modem para a Internet das Coisas (IoT), equipamentos industriais, dispositivos domésticos inteligentes, sistemas de monitoramento de saúde, rastreadores logísticos e terminais bancários. O MSM8916 equipa muitos smartphones de baixo custo, enquanto o SDX50 é usado em unidades de controle automotivo.
Como os dispositivos vulneráveis são atacados
O ponto crítico é que o invasor precisa de acesso físico ao dispositivo para realizar esse ataque. No mundo real, isso ocorre nas seguintes situações:
- Reparos de smartphones em assistências técnicas não autorizadas, onde o telefone fica por várias horas
- Inspeções alfandegárias em alguns países, onde os dispositivos são retidos, inspecionados e depois devolvidos
- Golpes de “achados e perdidos”, em que seu telefone é roubado, manipulado e depois misteriosamente recuperado
- Espionagem corporativa por um agente interno ou um funcionário desonesto
Bastam alguns minutos de acesso físico ao dispositivo para que um invasor insira um backdoor em camadas tão profundas do sistema que ferramentas convencionais de análise não conseguirão detectá-lo na maioria dos casos.
Por que não há correção e o que fazer a respeito
A Qualcomm foi notificada da descoberta em março de 2025 e confirmou a vulnerabilidade nos seus chips. Para identificá-la, o fornecedor a classificou como CVE-2026-25262 e, em 20 de abril de 2026, o Kaspersky ICS CERT publicou informações técnicas sobre a vulnerabilidade e recomendações para os usuários.
A Qualcomm incluiu essa vulnerabilidade em seu boletim de segurança de maio. Embora seja fundamentalmente impossível corrigir dispositivos já fabricados, a empresa prometeu produzir todos os chips futuros sem essa vulnerabilidade.
Se você tem um dispositivo com um chip afetado, siga as recomendações abaixo para reduzir o risco de infecção.
- Controle o acesso físico aos seus dispositivos: não os deixe sem vigilância, especialmente ao viajar a lazer ou a negócios.
- Escolha somente assistências técnicas autorizadas para reparos e manutenção.
- Mantenha o firmware atualizado. Isso não corrigirá a vulnerabilidade do BootROM, mas pode eliminar muitas vulnerabilidades relacionadas em camadas superiores.
- Use uma solução de segurança confiável no seu dispositivo. Ela protegerá seu dispositivo contra outras ameaças que, combinadas com essa vulnerabilidade, podem levar a consequências imprevisíveis.
Caso o seu dispositivo com um chip Qualcomm vulnerável superaqueça quando ocioso, relate picos inesperados no tráfego de rede ou apresente aplicativos agindo de forma estranha, você pode ter sido vítima dessa vulnerabilidade. É possível remover o código malicioso e restaurar o dispositivo ao seu estado original simplesmente interrompendo completamente o fornecimento de energia. Isso significa remover a bateria ou deixá-la descarregar completamente até que o dispositivo se desligue. Nesse caso, é provável que o código malicioso não persista no dispositivo pois, durante nossa pesquisa, não foi possível confirmar se ele conseguiria permanecer na memória não volátil.
Quer saber mais sobre vulnerabilidades graves em smartphones Android? Confira estas postagens:
Ataques às redes 5G: a corrida armamentista continua
Os serviços de geolocalização estão espionando você?
Vulnerabilidade Pixnapping: capturas de tela sem restrição no seu telefone Android
Dicas