高通已确认卡巴斯基披露的骁龙芯片硬件级漏洞

4 月 25 日消息,卡巴斯基于 4 月 23 日发布博文,披露称在高通骁龙芯片中发现硬件级漏洞,影响 MDM9x07、MSM8916 等多个系列芯片。

高通已于 2025 年 4 月确认该漏洞,追踪编号为 CVE-2026-25262,相关研究报告已在 Black Hat Asia 2026 上披露。

该漏洞影响 MDM9x07、MSM9x45、MSM8916 及 SDX50 等多个系列芯片,广泛用于智能手机、平板电脑、汽车组件及物联网设备。

format,f_avif.avif (3).jpg

漏洞位于硬件层嵌入的 BootROM 固件中,攻击者利用该缺陷可绕过关键安全防护,破坏安全启动链,进而部署恶意后门并完全控制设备。

研究人员揭示,攻击者利用 Sahara 协议的通信缺陷实施攻击。Sahara 协议用于设备紧急下载模式,是操作系统启动前加载软件的低级通信系统。

安全缺陷允许拥有物理访问权限的攻击者入侵应用处理器,潜在窃取用户输入的密码、文件、通讯录及位置信息,并能调用摄像头与麦克风进行监控。此类攻击无需复杂工具,仅需几分钟物理接触即可完成设备感染。

该漏洞威胁范围远超终端用户场景,延伸至供应链与设备维修环节。专家警告,此类恶意软件难以检测与清除,受感染系统可能模拟重启状态欺骗用户,仅断电或耗尽电池才能确保彻底清除恶意代码。

通知公告
编辑观点
理事会
参考资料
版权声明

凡《网络安全与数据治理》(原《信息技术与网络安全》)录用的文章,如作者没有关于汇编权、翻译权、印刷权及电子版的复制权、信息网络传播权与发行权等版权的特殊声明,即视作该文章署名作者同意将该文章的汇编权、翻译权、印刷权及电子版的复制权、信息网络传播权与发行权授予本刊,本刊有权授权本刊合作数据库、合作媒体等合作伙伴使用。同时,本刊支付的稿酬已包含上述使用的费用,特此声明。

《网络安全与数据治理》(原《信息技术与网络安全》)编辑部