- Kaspersky ICS CERT công bố CVE-2026-25262 — một lỗi write-what-where trong BootROM của loạt chip Qualcomm MSM/MDM, cho phép kẻ có truy cập vật lý qua Emergency Download Mode chiếm hoàn toàn module modem.
- Bug nằm trong mask ROM nên không thể vá bằng cập nhật phần mềm.
TL;DR
Kaspersky ICS CERT vừa công bố KLCERT-25-012 / CVE-2026-25262 — lỗ hổng write-what-where (CWE-123) trong BootROM của một loạt chip Qualcomm Snapdragon thuộc dòng MSM/MDM. Khai thác qua Emergency Download Mode (EDL), kẻ tấn công có quyền truy cập vật lý có thể bypass toàn bộ secure boot chain và chạy mã tuỳ ý ở quyền cao nhất trên module modem. Chip bị ảnh hưởng trải dài từ smartphone phổ thông, module LTE/5G trong xe hơi, đến thiết bị IoT công nghiệp. Vì bug nằm trong mask ROM, không có bản vá phần mềm nào khả thi cho silicon đã ship.
Chuyện gì vừa xảy ra
Ngày 20/4/2026, Kaspersky ICS CERT công bố advisory mô tả lỗi trong BootROM — tầng thực thi đầu tiên, bất biến, được khắc vào chip khi sản xuất. Nhóm nghiên cứu Alexander Kozlov và Sergey Anufrienko (Vulnerability Research Group, Kaspersky ICS CERT) sẽ trình bày chi tiết kỹ thuật tại Black Hat Asia 2026 ngày 23/4 tại Marina Bay Sands, Singapore.
Qualcomm đã nhận báo cáo từ tháng 3/2025 — tức hơn 13 tháng coordinated disclosure trước khi công bố công khai. Không có CVSS base score chính thức (Kaspersky ghi 0.0 placeholder), nhưng cả ba trục Confidentiality/Integrity/Availability đều được đánh giá High.
Vì sao đáng ngại
Ba lý do khiến bug này nặng hơn bình thường:
- Không vá được. BootROM là mask ROM — khắc vào silicon tại fab, không đọc/ghi được. Không có OTA, firmware update, hay Android security patch nào đụng đến. Silicon đã ship là hỏng mãi mãi.
- Bề rộng sản phẩm lớn. MSM8909/8916/8952 trải khắp Snapdragon 200/210/400/600 era — hàng trăm triệu điện thoại Android tầm trung từ 2015–2020. MDM9x07/9x45/9x65 và SDX50 là modem cellular trong rất nhiều xe hơi, router 4G/5G, POS, thiết bị tracking.
- Quyền ở tầng modem = chìa khoá vào toàn hệ thống. Khi chiếm được modem, attacker vượt qua secure boot chain và có thể persist qua factory reset, đọc baseband, can thiệp kênh RF, làm bàn đạp sang CAN bus (trên ô tô) hoặc các thành phần khác.
Fact kỹ thuật
| Thuộc tính | Giá trị |
|---|---|
| KLCERT ID | KLCERT-25-012 |
| CVE | CVE-2026-25262 |
| Loại lỗi | CWE-123 Write-what-where Condition |
| Vị trí | BootROM (mask ROM, không patch được) |
| Vector | Physical access + Emergency Download Mode (EDL) |
| Tác động | Bypass secure boot, RCE quyền cao nhất trên modem |
| Báo cáo | Tháng 3/2025 |
| Công bố | 20/4/2026 |
Các chipset bị liệt kê trong advisory:
- Snapdragon mobile SoC: MSM8909, MSM8916, MSM8952 (Snapdragon 200–600 era)
- LTE modems: MDM9x07, MDM9x45, MDM9x65
- 5G modem: SDX50
So với các bug EDL/BootROM trước đây
EDL của Qualcomm đã có lịch sử dài bị nghiên cứu. Aleph Security (2018) từng bypass secure boot trên Nokia 6 (MSM8937) bằng cách lợi dụng programmer firehose ký hợp lệ nhưng có lỗ hổng. Hướng đó đòi hỏi rò rỉ binary programmer của OEM. KLCERT-25-012 đi sâu hơn một tầng — lỗi nằm trước khâu xác thực programmer, trong BootROM.
So với Checkm8 (Apple A5–A11, 2019): hai bug cùng class — unpatchable silicon, yêu cầu physical access, cho code execution ở boot stage cao nhất. Checkm8 mở ra jailbreak và forensic recovery cho iPhone X trở xuống; KLCERT-25-012 đem lại leverage tương đương trên một fleet Qualcomm quy mô lớn hơn nhiều.
Ai sẽ khai thác
- Forensic / law enforcement: khoá màn hình không còn là rào cản khi có thiết bị trong tay. Công cụ forensic thương mại (Cellebrite, Oxygen, Passware) gần như chắc chắn sẽ tích hợp trong vài tháng tới.
- Nation-state evil-maid: tạm giữ thiết bị vài phút tại cửa khẩu / khách sạn đã đủ để cấy persistent implant dưới OS.
- Tấn công ô tô: TCU/telematics trên nhiều xe dùng MDM9x07/9x45. Truy cập harness dây — khó nhưng không phải không thể — cho phép chiếm modem, rồi tìm đường sang CAN gateway.
- IoT/ICS: cellular gateway công nghiệp, smart meter, POS, GPS tracker dùng MDM series thường ở môi trường có thể tiếp cận vật lý.
- Supply chain tampering: cấy backdoor trước khi thiết bị đến tay người dùng cuối.
Giới hạn & mitigation
Điểm trấn an duy nhất: phải có thiết bị trong tay. Không có đường khai thác từ xa, không qua mạng, không qua malicious app. Advisory của Kaspersky khuyến nghị:
- Kiểm soát vật lý nghiêm ngặt — đặc biệt với supply chain, thiết bị công tác, ô tô có nhà cho thuê/đỗ lâu ngày
- Giám sát hành vi bất thường: nóng máy không lý do, tiến trình lạ, traffic cellular bất thường
- Với OEM: fuse-based mitigations ở mức device nếu khả thi, và ưu tiên chip revision mới cho sản phẩm tương lai
Không khuyến nghị nào giải quyết được gốc rễ trên silicon đã ship.
Tiếp theo là gì
Sau talk Black Hat 23/4, cộng đồng nghiên cứu nhiều khả năng sẽ audit toàn bộ mask ROM của các dòng Qualcomm còn lại (SDM, SM, SDX khác). PoC công khai có thể xuất hiện trong vài tuần — và một khi công cụ forensic hỗ trợ EDL exploit chain này, ngưỡng kỹ năng để khai thác sẽ giảm đáng kể. Nếu bạn vận hành fleet IoT/ô tô dựa trên MDM9x* hoặc còn smartphone Snapdragon 400/600 trong tổ chức, đã đến lúc rà soát inventory và chính sách xử lý thiết bị bị mất/thu hồi.
Nguồn: Kaspersky ICS CERT advisory, Kaspersky Black Hat Asia announcement.
