Phát hiện lỗ hổng chip Qualcomm tiềm ẩn nguy cơ bị tin tặc chiếm quyền thiết bị

Lỗ hổng tồn tại trong bộ nhớ khởi động tích hợp (BootROM) - phần cứng quan trọng, cho phép tin tặc truy cập dữ liệu, kiểm soát camera, micro và trong một số trường hợp có thể chiếm quyền điều khiển toàn bộ thiết bị. Kết quả nghiên cứu đã được công bố tại sự kiện Black Hat Asia 2026.

Các dòng chip bị ảnh hưởng gồm MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 và SDX50. Lỗ hổng đã được báo cáo tới Qualcomm từ tháng 3/2025 và được xác nhận vào tháng 4/2025 với mã định danh CVE-2026-25262.

Theo phân tích của Kaspersky, lỗ hổng liên quan đến giao thức Sahara - một hệ thống giao tiếp tầng thấp được kích hoạt khi thiết bị chuyển sang chế độ tải xuống khẩn cấp (Emergency Download Mode - EDL). Đây là chế độ thường dùng để sửa chữa hoặc khôi phục thiết bị, nhưng cũng có thể bị lợi dụng để vượt qua các cơ chế bảo vệ.

Khi có quyền truy cập vật lý, kẻ tấn công có thể khai thác lỗ hổng để làm suy yếu chuỗi khởi động an toàn, từ đó cài đặt phần mềm độc hại hoặc cửa hậu vào bộ xử lý. Điều này cho phép tin tặc theo dõi thiết bị trong thời gian dài mà người dùng khó phát hiện.

Theo các chuyên gia, lỗ hổng không chỉ ảnh hưởng đến người dùng cá nhân mà còn tiềm ẩn rủi ro trong toàn bộ chuỗi cung ứng thiết bị, từ sản xuất, vận chuyển đến bảo trì.

Trên thực tế, với các thiết bị như điện thoại thông minh hoặc máy tính bảng, kẻ tấn công có thể truy cập mật khẩu người dùng nhập, từ đó tiếp cận các dữ liệu nhạy cảm như tập tin, danh bạ, vị trí và quyền truy cập camera, micro.

Sergey Anufrienko, chuyên gia bảo mật tại Kaspersky ICS CERT, cho biết: “Những lỗ hổng trong bộ vi xử lý như trên có thể bị khai thác để cài đặt phần mềm độc hại khó phát hiện và loại bỏ kịp thời. Điều này tạo điều kiện cho tin tặc trong việc thu thập dữ liệu một cách âm thầm hoặc can thiệp vào hoạt động của thiết bị trong thời gian dài”.

Chuyên gia cũng cảnh báo việc khởi động lại thiết bị không phải lúc nào cũng là giải pháp hiệu quả, do hệ thống đã bị xâm nhập có thể giả lập quá trình khởi động lại. Trong một số trường hợp, chỉ khi thiết bị bị ngắt hoàn toàn nguồn điện, bao gồm cả việc pin cạn, hệ thống mới được khởi động lại đúng cách.

Kaspersky khuyến nghị các tổ chức và người dùng cần kiểm soát chặt chẽ thiết bị trong toàn bộ vòng đời sử dụng, từ cung ứng, vận hành đến bảo trì. Trong trường hợp nghi ngờ thiết bị bị xâm nhập, người dùng có thể thử ngắt hoàn toàn nguồn điện hoặc để thiết bị cạn pin nhằm loại bỏ mã độc.

Các chuyên gia nhận định, lỗ hổng ở cấp độ phần cứng như BootROM đặc biệt nguy hiểm do khó vá lỗi và có thể tồn tại lâu dài, đặt ra thách thức lớn đối với công tác bảo mật trong bối cảnh các thiết bị kết nối ngày càng phổ biến.