4 月 25 日消息，卡巴斯基于 4 月 23 日發(fā)布博文，披露稱在高通驍龍芯片中發(fā)現(xiàn)硬件級(jí)漏洞，影響 MDM9x07、MSM8916 等多個(gè)系列芯片。

高通已于 2025 年 4 月確認(rèn)該漏洞，追蹤編號(hào)為 CVE-2026-25262，相關(guān)研究報(bào)告已在 Black Hat Asia 2026 上披露。

該漏洞影響 MDM9x07、MSM9x45、MSM8916 及 SDX50 等多個(gè)系列芯片，廣泛用于智能手機(jī)、平板電腦、汽車組件及物聯(lián)網(wǎng)設(shè)備。

漏洞位于硬件層嵌入的 BootROM 固件中，攻擊者利用該缺陷可繞過(guò)關(guān)鍵安全防護(hù)，破壞安全啟動(dòng)鏈，進(jìn)而部署惡意后門并完全控制設(shè)備。

研究人員揭示，攻擊者利用 Sahara 協(xié)議的通信缺陷實(shí)施攻擊。Sahara 協(xié)議用于設(shè)備緊急下載模式，是操作系統(tǒng)啟動(dòng)前加載軟件的低級(jí)通信系統(tǒng)。

安全缺陷允許擁有物理訪問(wèn)權(quán)限的攻擊者入侵應(yīng)用處理器，潛在竊取用戶輸入的密碼、文件、通訊錄及位置信息，并能調(diào)用攝像頭與麥克風(fēng)進(jìn)行監(jiān)控。此類攻擊無(wú)需復(fù)雜工具，僅需幾分鐘物理接觸即可完成設(shè)備感染。

該漏洞威脅范圍遠(yuǎn)超終端用戶場(chǎng)景，延伸至供應(yīng)鏈與設(shè)備維修環(huán)節(jié)。專家警告，此類惡意軟件難以檢測(cè)與清除，受感染系統(tǒng)可能模擬重啟狀態(tài)欺騙用戶，僅斷電或耗盡電池才能確保徹底清除惡意代碼。