Kaspersky ICS CERT, akıllı telefonlar ve tabletlerden otomotiv bileşenlerine, IoT aygıtlarından endüstriyel sistemlere kadar geniş bir kullanım alanına sahip Qualcomm çiplerini etkileyen donanım düzeyinde bir güvenlik açığı tespit etti. Kelam konusu açık, donanım katmanına gömülü bir firmware olan BootROM’da bulunuyor. Bu zafiyet, saldırganların aygıtta depolanan datalara ya da kamera ve mikrofon üzere sensörlere erişim elde etmesine, karmaşık hücum senaryoları gerçekleştirmesine ve birtakım durumlarda aygıt üzerinde tam denetim sağlamasına imkan tanıyabiliyor. Araştırmanın bulguları Black Sınır Asia 2026’da paylaşıldı.
Açığın, Qualcomm MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 ve SDX50 serilerini etkilediği belirtilirken, Mart 2025’te Qualcomm’a bildirildiği ve şirket tarafından Nisan 2025’te resmi olarak doğrulandığı söz ediliyor. Güvenlik açığına CVE-2026-25262 kimliği atanmış durumda. Qualcomm tabanlı öteki çiplerinin de etkilenmiş olabileceği bedellendiriliyor.
Kaspersky araştırmacıları, Qualcomm çiplerinin Emergency Download Mode (EDL) olarak isimlendirilen özel kurtarma moduna geçtiğinde kullanılan düşük düzeyli bir bağlantı sistemi olan Sahara protokolünü inceledi. Bu protokol, aygıtın işletim sistemi devreye girmeden evvel bir bilgisayarın aygıta bağlanmasına ve yazılım yüklemesine imkan tanıyan birinci adımı oluşturuyor.
Yapılan tahliller, bu süreçteki bir güvenlik açığının, amaç aygıta fizikî erişim sağlayan bir saldırganın çiplerin üzerindeki temel güvenlik sistemlerini atlatmasına, inançlı önyükleme zincirini (secure boot chain) devre dışı bırakmasına ve birtakım durumlarda ziyanlı uygulamalar ile art kapıları uygulama işlemcisine yerleştirerek aygıtın denetimini büsbütün ele geçirmesine imkân tanıyabileceğini ortaya koyuyor. Örneğin amaç aygıt bir akıllı telefon ya da tablet olduğunda, saldırgan kullanıcı tarafından girilen parolalara erişebilir ve bu da evraklar, bireyler, pozisyon bilgileri ile kamera ve mikrofon üzere hassas datalara erişimin önünü açabilir.
Potansiyel bir saldırganın aygıtı ele geçirmesi için sadece birkaç dakikalık fizikî erişim kâfi olabiliyor. Bu nedenle, bir akıllı telefonun kısa müddetliğine gözetimsiz bırakılması ya da tamirat için gönderilmesi durumunda aygıtın güvenliğinden tam olarak emin olmak mümkün olmayabilir. Araştırmacılar, riskin sadece son kullanıcı senaryolarıyla hudutlu kalmadığını, tedarik zinciri süreçlerinde de aygıtların tehlikeye girebileceğini vurguluyor.
Kaspersky ICS CERT güvenlik uzmanı Sergey Anufrienko konuyla ilgili olarak şunları belirtiyor: “Bu cins güvenlik açıkları, tespit edilmesi ve kaldırılması güç olan ziyanlı yazılımların aygıta yerleştirilmesine imkan tanıyabilir. Pratikte bu durum, uzun müddet boyunca saklı bilgi toplama faaliyetlerine ya da aygıt davranışlarının manipüle edilmesine yol açabilir. Tekrar başlatma, bu tıp ziyanlı yazılımları ortadan kaldırmak için tesirli bir formül üzere görünse de her vakit kâfi olmayabilir; ele geçirilmiş sistemler, gerçekte yine başlatma gerçekleşmeden sistemi yine başlatılmış üzere gösterebilir. Bu üzere durumlarda sadece aygıtın büsbütün güçsüz kalması –bataryanın büsbütün boşalması dahil– pak bir başlangıcı garanti eder.”
Kaspersky hem kurumlara hem de ferdî kullanıcılara; tedarik, bakım ve kullanım ömrü sonlandırma süreçleri dahil olmak üzere aygıtlar üzerinde sıkı fizikî güvenlik denetimleri uygulamalarını öneriyor. Ayrıyeten, ilgili çiplere giden güç büsbütün kesilerek aygıtın tekrar başlatılması (mümkünse) ya da bataryanın büsbütün boşaltılması, ziyanlı yazılım yüklenmiş olması durumunda temizlenmesine yardımcı olabilir.
Detaylı teknik bilgilere Kaspersky ICS CERT’in resmi web sitesinde yayımlanan metne ulaşabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
