高通 2025 年 4 月已确认，卡巴斯基披露骁龙芯片硬件级漏洞

4 月 25 日消息，卡巴斯基于 4 月 23 日发布博文，披露称在高通骁龙芯片中发现硬件级漏洞，影响 MDM9x07、MSM8916 等多个系列芯片。

高通已于 2025 年 4 月确认该漏洞，追踪编号为 CVE-2026-25262，相关研究报告已在 Black Hat Asia 2026 上披露。

该漏洞影响 MDM9x07、MSM9x45、MSM8916 及 SDX50 等多个系列芯片，广泛用于智能手机、平板电脑、汽车组件及物联网设备。

漏洞位于硬件层嵌入的 BootROM 固件中，攻击者利用该缺陷可绕过关键安全防护，破坏安全启动链，进而部署恶意后门并完全控制设备。

研究人员揭示，攻击者利用 Sahara 协议的通信缺陷实施攻击。Sahara 协议用于设备紧急下载模式，是操作系统启动前加载软件的低级通信系统。

安全缺陷允许拥有物理访问权限的攻击者入侵应用处理器，潜在窃取用户输入的密码、文件、通讯录及位置信息，并能调用摄像头与麦克风进行监控。此类攻击无需复杂工具，仅需几分钟物理接触即可完成设备感染。

该漏洞威胁范围远超终端用户场景，延伸至供应链与设备维修环节。专家警告，此类恶意软件难以检测与清除，受感染系统可能模拟重启状态欺骗用户，仅断电或耗尽电池才能确保彻底清除恶意代码。

附上参考地址

KLCERT-25-012: Qualcomm chipset series. Write-what-where Condition vulnerability in BootROM

Kaspersky discovers vulnerability in Qualcomm Snapdragon chips that can lead to data loss & device compromise