Nel mondo Android esiste da sempre una linea di confine tra ciò che il produttore consente di fare e ciò che alcuni utenti provano comunque a ottenere. Lo sblocco del bootloader è uno di quei territori: ufficialmente previsto in alcuni casi, scoraggiato o reso complicato in altri. Ed è proprio in tale contesto che si inserisce una scoperta interessante che riguarda lo Snapdragon 8 Elite Gen 5, uno dei SoC di riferimento per l’attuale fascia alta Android. Si tratta di un chip che alimenta diversi top di gamma recenti, come Xiaomi 17, OnePlus 15 e Samsung Galaxy S26 Ultra. Proprio sui dispositivi basati su tale piattaforma è emersa una nuova catena di vulnerabilità che, combinando più elementi, potrebbe permettere di aggirare alcune delle restrizioni imposte dai produttori e arrivare allo sblocco del bootloader.
L’exploit è stato soprannominato “Qualcomm GBL Exploit” e ruota attorno alla nuova architettura GBL (Generic Bootloader Library). Quest’ultima introdotta con i dispositivi basati su Android 16. Il nodo centrale riguarda il modo in cui il bootloader Android fornito da Qualcomm, chiamato ABL (Android Bootloader), carica uno dei componenti fondamentali del sistema durante l’avvio. In teoria, ogni elemento caricato in tale fase dovrebbe essere verificato con controlli crittografici molto rigidi. In pratica, secondo le analisi tecniche emerse nelle ultime settimane, l’ABL si limiterebbe a controllare che nella partizione chiamata efisp sia presente un’app UEFI valida. Ciò senza però verificare realmente la firma o l’integrità del codice. Questo significa che, se qualcuno riesce a scrivere in quella partizione, può inserire codice non firmato che verrà comunque eseguito durante il boot. Ed è proprio qui che l’exploit trova il suo punto d’appoggio.
Scovata una falla su Snapdragon 8 Elite Gen 5 apprezzata dai modder
Il problema è che la partizione efisp non è modificabile. Il sistema di sicurezza SELinux, infatti, è impostato di default in modalità Enforcing e blocca qualsiasi tentativo di scrittura non autorizzata. Per superare tale ostacolo entra in gioco una seconda vulnerabilità, legata a un comando fastboot previsto da Qualcomm: “fastboot oem set-gpu-preemption”. Il comando dovrebbe accettare solo parametri molto semplici, ma l’implementazione sembra tollerare anche argomenti aggiuntivi non verificati. Tale dettaglio consente di inserire manualmente il parametro androidboot.selinux=permissive, forzando così SELinux in modalità Permissive. A quel punto il sistema diventa molto più permissivo nelle operazioni di scrittura, inclusa proprio quella sulla partizione efisp.
Una volta completato tale passaggio, diventa possibile inserire una propria applicazione UEFI nella partizione e sfruttare il comportamento dell’ABL per farla eseguire al riavvio. In sostanza, si replica l’effetto dello sblocco ufficiale del bootloader, quello ottenuto con il comando fastboot oem unlock, ma passando attraverso una strada completamente diversa.
Le prime dimostrazioni pratiche sono arrivate su diversi dispositivi basati su Snapdragon 8 Elite Gen 5, tra cui Redmi K90 Pro Max e POCO F8 Ultra, oltre alla già citata serie Xiaomi 17. In quest’ultimo caso l’exploit sfrutterebbe anche alcuni componenti di HyperOS, in particolare l’app MQSAS e il servizio binder IMQSNative. I quali permetterebbero di scrivere direttamente l’app UEFI personalizzata nella partizione efisp. Non sorprende quindi che il produttore si sia già mosso. Diverse segnalazioni indicano che Xiaomi avrebbe corretto una parte della catena di exploit con un aggiornamento dell’app coinvolta. Non è ancora chiaro, però, se la vulnerabilità principale legata al caricamento del GBL sia stata completamente risolta oppure no.
Un altro aspetto ancora incerto riguarda la possibile diffusione del problema su altri dispositivi. In teoria, qualsiasi produttore che utilizza l’ABL di Qualcomm potrebbe essere esposto. Solo Samsung rappresenterebbe un caso a parte perché utilizza un proprio bootloader proprietario chiamato S‑Boot. Come spesso accade in questi casi, la situazione è ancora in evoluzione. Qualcomm avrebbe già corretto alcune implementazioni vulnerabili nei comandi fastboot, ma resta da capire se e quando eventuali patch complete verranno distribuite ai produttori e, soprattutto, agli utenti finali.
