Uma vulnerabilidade crítica descoberta em chips da Qualcomm está preocupando especialistas em cibersegurança em todo o mundo. Identificada como CVE-2026-25262, a falha afeta diversos dispositivos, incluindo smartphones, carros conectados, equipamentos industriais, terminais bancários e produtos de Internet das Coisas (IoT).
A descoberta foi apresentada pelos pesquisadores Alexander Kozlov e Sergey Anufrienko, do Kaspersky ICS CERT, durante a conferência Black Hat Asia 2026. Segundo os especialistas, o problema está localizado em uma das camadas mais profundas dos chips da Qualcomm: o BootROM, componente responsável por iniciar todo o sistema do dispositivo.
O que torna a vulnerabilidade tão perigosa?
O BootROM funciona como a base da cadeia de confiança de um dispositivo eletrônico. Por estar gravado diretamente no silício durante a fabricação, ele não pode ser alterado posteriormente por meio de atualizações de software.
A vulnerabilidade permite que um invasor execute código malicioso antes mesmo do carregamento do sistema operacional. Na prática, isso possibilita o acesso a senhas, arquivos, contatos, localização, câmera, microfone e outros recursos sensíveis do aparelho.
O ataque explora o chamado Modo de Download de Emergência (EDL), utilizado por fabricantes e assistências técnicas para recuperar dispositivos com problemas de funcionamento.
Ataque exige acesso físico ao dispositivo
Embora a falha seja extremamente grave, não pode ser explorada remotamente. O criminoso precisa ter acesso físico ao equipamento por alguns minutos e conectá-lo por meio de um cabo USB.
Entre os cenários considerados de risco pelos pesquisadores estão:
- Assistências técnicas não autorizadas;
- Inspeções alfandegárias em aeroportos e fronteiras;
- Casos de roubo temporário seguidos de devolução do aparelho;
- Espionagem corporativa praticada por funcionários mal-intencionados.
Segundo a Kaspersky, um invasor pode instalar um backdoor praticamente invisível para ferramentas tradicionais de segurança.
Quais chips Qualcomm são afetados?
A vulnerabilidade impacta as seguintes famílias de processadores:
- MDM9x07
- MDM9x45
- MDM9x65
- MSM8909
- MSM8916
- MSM8952
- SDX50
Esses componentes continuam amplamente utilizados em smartphones de entrada, módulos de comunicação para IoT, sistemas industriais, equipamentos médicos, rastreadores logísticos e unidades de controle automotivo.
Qualcomm confirma problema, mas correção é impossível
A Qualcomm foi informada da descoberta em março de 2025 e confirmou a existência da falha. A empresa incluiu o problema em seu boletim de segurança divulgado em maio de 2026.
No entanto, por estar presente no próprio BootROM, a vulnerabilidade não pode ser corrigida em dispositivos já fabricados. A fabricante informou apenas que futuras gerações dos chips serão produzidas sem essa falha.
Como se proteger da vulnerabilidade
Especialistas recomendam algumas medidas para reduzir os riscos:
- Evitar deixar dispositivos sem supervisão;
- Utilizar apenas assistências técnicas autorizadas;
- Manter firmware e sistema operacional atualizados;
- Instalar soluções de segurança confiáveis;
- Desconfiar de superaquecimento, tráfego de rede incomum ou comportamento estranho de aplicativos.
De acordo com os pesquisadores, caso o dispositivo tenha sido comprometido, desligá-lo completamente e interromper toda a alimentação elétrica, removendo a bateria ou deixando-a descarregar totalmente, pode eliminar o código malicioso em determinados cenários.
Falha reacende debate sobre segurança de hardware
A descoberta evidencia um problema crescente na indústria tecnológica: vulnerabilidades diretamente no hardware. Diferentemente de falhas de software, que normalmente podem ser corrigidas por meio de atualizações, problemas no silício podem acompanhar um dispositivo ao longo de toda a sua vida útil.
Para especialistas, o caso da CVE-2026-25262 representa um dos exemplos mais preocupantes dos últimos anos, especialmente porque afeta não apenas smartphones, mas também veículos conectados, sistemas industriais e equipamentos críticos utilizados em diversos setores da economia.
Imagem gerada por IA (ChatGPT)
