Una vulnerabilità BootROM nei chip Qualcomm sta facendo discutere parecchio nel mondo della sicurezza informatica, e il motivo è tanto semplice quanto inquietante: non può essere corretta con un aggiornamento software. Il problema risiede in una porzione di memoria a sola lettura presente fisicamente nel processore, il che significa che nessuna patch potrà mai risolverlo sui dispositivi già in circolazione. Qualcomm ha riconosciuto ufficialmente il difetto nel proprio bollettino di sicurezza pubblicato a maggio 2026.
Come funziona la falla nella BootROM
Per capire la gravità della situazione bisogna fare un passo indietro e guardare come si accende uno smartphone. La BootROM è il primissimo codice che viene eseguito all’avvio: si occupa di verificare la firma del bootloader, che a sua volta controlla il passaggio successivo, creando quella che in gergo viene chiamata “catena di fiducia”. Il punto critico è che la BootROM è scritta direttamente nel silicio del chip durante la fabbricazione. Non si aggiorna, non si modifica, non si tocca. Se contiene un errore, quell’errore resta lì per sempre.
La vulnerabilità, identificata come CVE-2026-25262, riguarda un componente specifico legato alla modalità di emergenza chiamata Emergency Download Mode (EDL). Questa modalità viene normalmente utilizzata per ripristinare dispositivi che non si avviano più: lo smartphone viene collegato al computer via USB e si carica un’utility del produttore. Il protocollo coinvolto si chiama Sahara ed è implementato proprio nella BootROM. Il problema è che, a causa di una corruzione della memoria del bootloader, durante questa procedura è possibile iniettare codice malevolo, scrivere in indirizzi di memoria arbitrari e ottenere il controllo completo del dispositivo.
Tradotto in termini pratici: un malintenzionato con accesso fisico allo smartphone potrebbe mettere le mani su password, contatti, file e qualsiasi altro dato presente sul dispositivo. L’accesso fisico è ovviamente un requisito, ma gli scenari non sono poi così remoti. Basta pensare a un telefono lasciato in un centro di riparazione, oppure a un controllo doganale in determinati paesi dove le ispezioni sui dispositivi elettronici sono piuttosto invasive.
Quali chip sono coinvolti e cosa farà Qualcomm
La lista dei chip Qualcomm affetti comprende i modelli MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 e SDX50. Non si tratta di componenti ormai dimenticati. Il modem MDM9207, per esempio, è ancora ampiamente diffuso nei dispositivi IoT e nei sistemi industriali. I processori MSM8909, MSM8916 e MSM8952 corrispondono rispettivamente agli Snapdragon 210, 410 e 617, che hanno equipaggiato un numero enorme di smartphone di fascia bassa venduti in tutto il mondo. Parliamo dunque di una base installata potenzialmente molto ampia.
La scoperta è opera dei ricercatori di Kaspersky, che hanno analizzato il funzionamento della BootROM e identificato il vettore di attacco. Qualcomm, dal canto suo, ha confermato tutto nel bollettino di maggio e ha ammesso che non esiste alcuna possibilità di distribuire una correzione per i processori già sul mercato. Essendo un bug hardware introdotto in fase di produzione, l’unica strada percorribile è intervenire sui chip futuri, cosa che l’azienda californiana ha dichiarato di voler fare. Per i dispositivi attualmente in uso, però, la vulnerabilità BootROM nei chip Qualcomm resta un problema strutturale e permanente.
