Imagine entregar seu smartphone para conserto. Alguns dias depois, voc\u00ea o busca e, \u00f3timo, ele voltou a funcionar! Mas voc\u00ea nem perceber\u00e1 que um c\u00f3digo malicioso foi inserido no seu dispositivo, permitindo que invasores acessem seu smartphone mesmo quando ele estiver bloqueado.<\/p>\n
Essa \u00e9 a introdu\u00e7\u00e3o da hist\u00f3ria apresentada pelos pesquisadores do Kaspersky ICS CERT, Alexander Kozlov e Sergey Anufrienko, na confer\u00eancia Black Hat Asia 2026<\/a>. Eles descobriram uma vulnerabilidade que desafia as premissas convencionais sobre a seguran\u00e7a de smartphones e dispositivos IoT. O problema est\u00e1 no pr\u00f3prio n\u00facleo dos chips da Qualcomm.<\/p>\n Para compreender a gravidade dessa descoberta, primeiro precisamos entender como um dispositivo moderno que utiliza um chip da Qualcomm \u00e9 inicializado. Imagine uma fortaleza com m\u00faltiplas camadas de seguran\u00e7a. Cada camada subsequente verifica a autoriza\u00e7\u00e3o emitida pela anterior. A base de tudo, a camada mais confi\u00e1vel do sistema, \u00e9 o BootROM, uma mem\u00f3ria somente leitura incorporada diretamente ao sil\u00edcio que n\u00e3o pode ser modificada ap\u00f3s sair da f\u00e1brica<\/a>.<\/p>\n O BootROM \u00e9 o primeiro componente a ser executado quando um dispositivo \u00e9 ligado. Ele verifica a assinatura do pr\u00f3ximo carregador de inicializa\u00e7\u00e3o, que por sua vez verifica o seguinte, criando uma cadeia de confian\u00e7a que se estende at\u00e9 o sistema operacional. Se um invasor conseguir comprometer essa cadeia no n\u00edvel do BootROM, est\u00e1 tudo acabado: o c\u00f3digo malicioso ser\u00e1 executado antes mesmo de o sistema operacional principal ser carregado.<\/p>\n \u00c9 exatamente isso o que os invasores podem fazer ao explorar a vulnerabilidade CVE-2026-25262<\/a>, descoberta pelos pesquisadores do Kaspersky ICS CERT.<\/p>\n A pesquisa teve in\u00edcio com um protocolo chamado Sahara. Trata-se de um componente do Modo de download de emerg\u00eancia (EDL). Ele \u00e9 utilizado por fabricantes e centros de servi\u00e7o para recuperar dispositivos inoperantes: o telefone \u00e9 conectado a um computador via USB e um programa utilit\u00e1rio especial assinado pelo fabricante, neste caso a Qualcomm, \u00e9 transferido para o dispositivo.<\/p>\n O Sahara \u00e9 implementado diretamente no ARM PBL (Primary Boot Loader), ou seja, no pr\u00f3prio BootROM. Isso significa que o protocolo \u00e9 executado antes da inicializa\u00e7\u00e3o do sistema operacional, da verifica\u00e7\u00e3o dos privil\u00e9gios de acesso do usu\u00e1rio e da ativa\u00e7\u00e3o dos controles de seguran\u00e7a. O dispositivo simplesmente aguarda uma conex\u00e3o USB, pronto para receber dados.<\/p>\n O fluxo de comunica\u00e7\u00e3o parece simples: o dispositivo envia um handshake (HELLO) ao computador, o computador seleciona o modo, inicia-se um ciclo de transfer\u00eancia do programa utilit\u00e1rio em blocos e, por fim, o dispositivo executa o c\u00f3digo carregado. E foi justamente na l\u00f3gica de verifica\u00e7\u00e3o desses blocos de dados que a vulnerabilidade foi identificada.<\/p>\n Em termos t\u00e9cnicos, o bug introduzido pelos desenvolvedores \u00e9 classificado como CWE-123: Write-What-Where Condition. Trata-se de uma das falhas mais graves poss\u00edveis em programa\u00e7\u00e3o de baixo n\u00edvel. Ele permite que um invasor grave dados arbitr\u00e1rios em um endere\u00e7o arbitr\u00e1rio na mem\u00f3ria do dispositivo.<\/p>\n Sem entrar em muitos detalhes t\u00e9cnicos, basta dizer que, ao explorar a vulnerabilidade descoberta, os invasores conseguem acessar qualquer dado do dispositivo, incluindo senhas inseridas pelo usu\u00e1rio, arquivos, contatos, dados de geolocaliza\u00e7\u00e3o e at\u00e9 sensores de hardware, como c\u00e2mera e microfone. Em determinados cen\u00e1rios, \u00e9 poss\u00edvel obter controle total sobre o dispositivo. Bastam alguns minutos de acesso f\u00edsico ao dispositivo por meio de uma conex\u00e3o a cabo para que ele seja comprometido. Isso representa um risco caso voc\u00ea leve seu smartphone para conserto, entregue-o a outra pessoa para configura\u00e7\u00e3o e instala\u00e7\u00e3o de aplicativos ou simplesmente o deixe sem supervis\u00e3o.<\/p>\n A vulnerabilidade CVE-2026-25262 afeta as seguintes s\u00e9ries de chips da Qualcomm: MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 e SDX50, incluindo todas as vers\u00f5es lan\u00e7adas at\u00e9 o momento, enquanto a vulnerabilidade n\u00e3o for corrigida pelo fabricante.<\/p>\n Esses chips est\u00e3o longe de ser obsoletos. O MDM9207, usado na maior parte da nossa pesquisa, est\u00e1 integrado a m\u00f3dulos de modem para a Internet das Coisas (IoT), equipamentos industriais, dispositivos dom\u00e9sticos inteligentes, sistemas de monitoramento de sa\u00fade, rastreadores log\u00edsticos e terminais banc\u00e1rios. O MSM8916 equipa muitos smartphones de baixo custo<\/a>, enquanto o SDX50 \u00e9 usado em unidades de controle automotivo.<\/p>\n O ponto cr\u00edtico \u00e9 que o invasor precisa de acesso f\u00edsico ao dispositivo para realizar esse ataque. No mundo real, isso ocorre nas seguintes situa\u00e7\u00f5es:<\/p>\n Bastam alguns minutos de acesso f\u00edsico ao dispositivo para que um invasor insira um backdoor em camadas t\u00e3o profundas do sistema que ferramentas convencionais de an\u00e1lise n\u00e3o conseguir\u00e3o detect\u00e1-lo na maioria dos casos.<\/p>\n A Qualcomm foi notificada da descoberta em mar\u00e7o de 2025 e confirmou a vulnerabilidade nos seus chips. Para identific\u00e1-la, o fornecedor a classificou como CVE-2026-25262<\/a> e, em 20 de abril de 2026, o Kaspersky ICS CERT publicou<\/a> informa\u00e7\u00f5es t\u00e9cnicas sobre a vulnerabilidade e recomenda\u00e7\u00f5es para os usu\u00e1rios.<\/p>\n A Qualcomm incluiu essa vulnerabilidade em seu boletim de seguran\u00e7a de maio<\/a>. Embora seja fundamentalmente imposs\u00edvel corrigir dispositivos j\u00e1 fabricados, a empresa prometeu produzir todos os chips futuros sem essa vulnerabilidade.<\/p>\n Se voc\u00ea tem um dispositivo com um chip afetado, siga as recomenda\u00e7\u00f5es abaixo para reduzir o risco de infec\u00e7\u00e3o.<\/p>\n Caso o seu dispositivo com um chip Qualcomm vulner\u00e1vel superaque\u00e7a quando ocioso, relate picos inesperados no tr\u00e1fego de rede ou apresente aplicativos agindo de forma estranha, voc\u00ea pode ter sido v\u00edtima dessa vulnerabilidade. \u00c9 poss\u00edvel remover o c\u00f3digo malicioso e restaurar o dispositivo ao seu estado original simplesmente interrompendo completamente o fornecimento de energia. Isso significa remover a bateria ou deix\u00e1-la descarregar completamente at\u00e9 que o dispositivo se desligue. Nesse caso, \u00e9 prov\u00e1vel que o c\u00f3digo malicioso n\u00e3o persista no dispositivo pois, durante nossa pesquisa, n\u00e3o foi poss\u00edvel confirmar se ele conseguiria permanecer na mem\u00f3ria n\u00e3o vol\u00e1til.<\/p>\n Quer saber mais sobre vulnerabilidades graves em smartphones Android? Confira estas postagens:<\/p>\n Ataques \u00e0s redes 5G: a corrida armamentista continua<\/a><\/p>\n Os servi\u00e7os de geolocaliza\u00e7\u00e3o est\u00e3o espionando voc\u00ea?<\/a><\/p>\n Vulnerabilidade Pixnapping: capturas de tela sem restri\u00e7\u00e3o no seu telefone Android<\/a><\/p>\n Roubo de dados durante o carregamento do smartphone<\/a><\/p>\nO que \u00e9 o BootROM?<\/h2>\n
Modo de download de emerg\u00eancia como porta de entrada<\/h2>\n
Write-what-where: a ess\u00eancia da vulnerabilidade<\/h2>\n
Quais dispositivos s\u00e3o afetados<\/h2>\n
Como os dispositivos vulner\u00e1veis s\u00e3o atacados<\/h2>\n
\n
Por que n\u00e3o h\u00e1 corre\u00e7\u00e3o e o que fazer a respeito<\/h2>\n
\n