Kaspersky ICS CERT, akıllı telefonlar ve tabletlerden otomotiv bileşenlerine, IoT cihazlarından endüstriyel sistemlere kadar geniş bir kullanım alanına sahip Qualcomm çiplerini etkileyen donanım seviyesinde bir güvenlik açığı tespit etti. Söz konusu açık, donanım katmanına gömülü bir firmware olan BootROM’da bulunuyor. Bu zafiyet, saldırganların cihazda depolanan verilere ya da kamera ve mikrofon gibi sensörlere erişim elde etmesine, karmaşık saldırı senaryoları gerçekleştirmesine ve bazı durumlarda cihaz üzerinde tam kontrol sağlamasına olanak tanıyabiliyor. Araştırmanın bulguları Black Hat Asia 2026’da paylaşıldı.

Açığın, Qualcomm MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 ve SDX50 serilerini etkilediği belirtilirken, Mart 2025’te Qualcomm’a bildirildiği ve şirket tarafından Nisan 2025’te resmi olarak doğrulandığı ifade ediliyor. Güvenlik açığına CVE-2026-25262 kimliği atanmış durumda. Qualcomm tabanlı diğer çiplerinin de etkilenmiş olabileceği değerlendiriliyor.

Kaspersky araştırmacıları, Qualcomm çiplerinin Emergency Download Mode (EDL) olarak adlandırılan özel kurtarma moduna geçtiğinde kullanılan düşük seviyeli bir iletişim sistemi olan Sahara protokolünü inceledi. Bu protokol, cihazın işletim sistemi devreye girmeden önce bir bilgisayarın cihaza bağlanmasına ve yazılım yüklemesine olanak tanıyan ilk adımı oluşturuyor.

Yapılan analizler, bu süreçteki bir güvenlik açığının, hedef cihaza fiziksel erişim sağlayan bir saldırganın çiplerin üzerindeki temel güvenlik mekanizmalarını atlatmasına, güvenli önyükleme zincirini (secure boot chain) devre dışı bırakmasına ve bazı durumlarda zararlı uygulamalar ile arka kapıları uygulama işlemcisine yerleştirerek cihazın kontrolünü tamamen ele geçirmesine imkân tanıyabileceğini ortaya koyuyor. Örneğin hedef cihaz bir akıllı telefon ya da tablet olduğunda, saldırgan kullanıcı tarafından girilen parolalara erişebilir ve bu da dosyalar, kişiler, konum bilgileri ile kamera ve mikrofon gibi hassas verilere erişimin önünü açabilir.

Potansiyel bir saldırganın cihazı ele geçirmesi için yalnızca birkaç dakikalık fiziksel erişim yeterli olabiliyor. Bu nedenle, bir akıllı telefonun kısa süreliğine gözetimsiz bırakılması ya da onarım için gönderilmesi durumunda cihazın güvenliğinden tam olarak emin olmak mümkün olmayabilir. Araştırmacılar, riskin yalnızca son kullanıcı senaryolarıyla sınırlı kalmadığını, tedarik zinciri süreçlerinde de cihazların tehlikeye girebileceğini vurguluyor.

Kaspersky ICS CERT güvenlik uzmanı Sergey Anufrienko konuyla ilgili olarak şunları belirtiyor: “Bu tür güvenlik açıkları, tespit edilmesi ve kaldırılması zor olan zararlı yazılımların cihaza yerleştirilmesine olanak tanıyabilir. Pratikte bu durum, uzun süre boyunca gizli veri toplama faaliyetlerine ya da cihaz davranışlarının manipüle edilmesine yol açabilir. Yeniden başlatma, bu tür zararlı yazılımları ortadan kaldırmak için etkili bir yöntem gibi görünse de her zaman yeterli olmayabilir; ele geçirilmiş sistemler, gerçekte yeniden başlatma gerçekleşmeden sistemi yeniden başlatılmış gibi gösterebilir. Bu gibi durumlarda yalnızca cihazın tamamen enerjisiz kalması –bataryanın tamamen boşalması dahil– temiz bir başlangıcı garanti eder.”

Kaspersky hem kurumlara hem de bireysel kullanıcılara; tedarik, bakım ve kullanım ömrü sonlandırma süreçleri dahil olmak üzere cihazlar üzerinde sıkı fiziksel güvenlik kontrolleri uygulamalarını öneriyor. Ayrıca, ilgili çiplere giden güç tamamen kesilerek cihazın yeniden başlatılması (mümkünse) ya da bataryanın tamamen boşaltılması, zararlı yazılım yüklenmiş olması durumunda temizlenmesine yardımcı olabilir.

Detaylı teknik bilgilere Kaspersky ICS CERT’in resmi web sitesinde yayımlanan metne ulaşabilirsiniz.