Thought Leadership
Durch die neu entdeckte Qualcomm-Schwachstelle CVE-2026-25262 können Hacker den Secure Boot umgehen und Smartphone-Kameras unbemerkt aktivieren.
Die Sicherheit moderner Mobilgeräte und industrieller Steuerungen basiert auf einem tiefen Vertrauensverhältnis zur Hardware. Wenn dieses Fundament Risse bekommt, verlieren herkömmliche Sicherheitslösungen auf Softwareebene ihre Wirkung. Kaspersky hat nun Details zu einer kritischen Hardware-Schwachstelle in weit verbreiteten Qualcomm-Chipsätzen veröffentlicht. Unter der Kennung CVE-2026-25262 wird eine Lücke beschrieben, die tief im sogenannten BootROM sitzt. Das ist das erste Stück Code, das ein Prozessor beim Einschalten ausführt. Da dieser Bereich schreibgeschützt und fest in der Hardware verankert ist, lässt er sich nicht durch einfache Software-Updates korrigieren.
Die Entdeckung betrifft eine Vielzahl von Snapdragon-Serien, die in Smartphones, Tablets, IoT-Geräten und sogar Fahrzeugkomponenten zum Einsatz kommen. Das Bedrohungsszenario ist deshalb so brisant, weil Angreifer die Kontrolle übernehmen können, noch bevor das Betriebssystem wie Android oder ein industrielles Echtzeit-OS überhaupt geladen wird.
Das Sahara-Protokoll: Ein offenes Fenster im Notfallmodus
Im Fokus der Analyse steht das Sahara-Protokoll. Dieses Low-Level-Kommunikationssystem wird immer dann aktiv, wenn ein Gerät in den Emergency Download Mode (EDL) wechselt. Dieser Modus ist eigentlich ein Rettungsanker für Techniker: Wenn die Software eines Smartphones so stark beschädigt ist, dass es nicht mehr startet, erlaubt der EDL-Modus das Einspielen einer neuen Firmware über eine USB-Verbindung.
In diesem speziellen Wiederherstellungsszenario kommuniziert der Chip über das Sahara-Protokoll direkt mit einem angeschlossenen Computer. Kaspersky fand heraus, dass eine Schwachstelle vom Typ CWE-123 vorliegt: Eine sogenannte Write-what-where-Condition. Ein Hacker mit physischem Zugriff auf das Gerät kann diese Schwachstelle ausnutzen, um gezielt Daten in den Speicher des Chips zu schreiben, die dort nicht hingehören. Das Ergebnis ist ein Bypass der Secure Boot Chain. Normalerweise stellt diese Kette sicher, dass nur digital signierte und vom Hersteller autorisierte Software geladen wird. Wird diese Barriere jedoch direkt beim Start im BootROM durchbrochen, bricht das gesamte Sicherheitskonzept wie ein Kartenhaus zusammen.
Lieferketten unter Beobachtung: Physischer Zugriff als Voraussetzung
Obwohl für den Angriff ein physischer Zugang per USB notwendig ist, warnt Kaspersky vor den Risiken entlang der globalen Lieferketten. Ein Gerät muss nicht erst beim Endanwender gestohlen werden, um kompromittiert zu werden. Die Manipulation kann bereits während der Produktion, beim Transport oder bei Wartungsarbeiten in einer Werkstatt erfolgen. Einmal infiziert, können Angreifer Backdoors oder Spionage-Software installieren, die für den Nutzer völlig unsichtbar bleibt.
Die Folgen einer solchen Infektion sind weitreichend. Die Schadsoftware agiert mit maximalen Privilegien und kann auf sämtliche Sensoren wie Mikrofon, Kamera und GPS zugreifen. Passwörter, Kontakte und private Dateien können unbemerkt exfiltriert werden. Da die Manipulation auf Hardwareebene ansetzt, wird sie von Virenscannern oder Root-Erkennungs-Tools meist nicht bemerkt.
Die Täuschung: Wenn der Neustart zur Simulation wird
Eine der beunruhigendsten Erkenntnisse der Kaspersky-Experten betrifft die Beständigkeit der Infektion. Sie weisen darauf hin, dass kompromittierte Systeme in der Lage sind, einen Neustart lediglich zu simulieren. Für den Nutzer sieht es so aus, als würde das Gerät ordnungsgemäß herunterfahren und neu starten. In Wirklichkeit bleibt der bösartige Code in einer aktiven Schleife im Speicher oder in tiefen Hardware-Registern erhalten.
Diese Technik ermöglicht es der Schadsoftware, selbst über vermeintliche Resets hinweg aktiv zu bleiben. Laut Kaspersky gibt es in einem solchen Fall nur eine einzige zuverlässige Gegenmaßnahme: den vollständigen Stromverlust. Da moderne Smartphones in der Regel fest verbaute Akkus besitzen, bedeutet dies für den Anwender, das Gerät so lange eingeschaltet zu lassen, bis der Akku vollständig entladen ist und der Chip keinerlei Energie mehr erhält. Erst dieser Zustand garantiert, dass flüchtige Speicherbereiche gelöscht werden und das BootROM bei der nächsten Energiezufuhr einen tatsächlich sauberen Startvorgang einleitet.
Betroffene Chip-Serien und Handlungsempfehlungen
Die Untersuchung nennt explizit mehrere betroffene Serien, darunter Qualcomm MDM9x07, MDM9x45, MDM9x65 sowie die Prozessoren MSM8909, MSM8916 und MSM8952. Auch das 5G-Modem SDX50 wird als verwundbar aufgeführt. Da diese Chips bereits seit 2025 als potenziell gefährdet gelten, haben viele Hersteller bereits versucht, die Lücken durch Software-Workarounds in späteren Boot-Phasen zu schließen. Dennoch bleibt die Hardware-Basis angreifbar.
Kaspersky empfiehlt Unternehmen und Behörden, die physische Sicherheit ihrer Geräteflotten zu verschärfen. Dies beinhaltet eine lückenlose Kontrolle der Lieferkette und die Beschränkung des physischen Zugriffs auf Wartungsschnittstellen. Nutzer sollten bei Geräten, die sie aus den Händen gegeben haben, etwa bei einer Reparatur durch nicht autorisierte Dritte, besonders wachsam sein. Anomalien wie eine ungewöhnliche Wärmeentwicklung des Chips im Standby-Modus können ein Indikator für im Hintergrund aktive Schadprozesse sein. Der Fall CVE-2026-25262 zeigt eindringlich, dass wahre Sicherheit nicht erst beim Betriebssystem beginnt, sondern bereits in den ersten Millisekunden nach dem Einschalten gewährleistet sein muss.
