Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

attacco phygital

Bug nei chip Qualcomm espone dati e compromette i dispositivi: come difendersi

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

La vulnerabilità a livello hardware riguarda i chip Qualcomm Snapdragon e risiede nel BootROM, il firmware integrato a livello hardware, laddove il dispositivo decide se fidarsi di sé stesso. Ecco perché se il chipset viene compromesso, tutto ciò che viene dopo rischia di diventare solo “sicurezza apparente”

Pubblicato il 24 apr 2026
Bug Qualcomm news analysis; Vulnerabilità nei chip Qualcomm espone i dati e compromette i dispositivi: come difendersi
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Secondo Kaspersky ICS CERT, una vulnerabilità a livello hardware, riguardante i chip Qualcomm Snapdragon, è presente in un’ampia gamma di dispositivi consumer e industriali. Ne sono affetti smartphone e tablet, componenti Automotive, dispositivi IoT e altro ancora.

Gli attaccanti potrebbero accedere a qualsiasi dato memorizzato sul device o ai suoi sensori, come fotocamera e microfono, mettendo in atto attacchi complessi e perfino ottenere il controllo totale del dispositivo.

“Questa vulnerabilità non va letta come l’ennesima falla su un chipset Qualcomm. Quando il problema colpisce la BootROM, cioè uno dei livelli più bassi della catena di avvio, il dispositivo smette di essere solo un oggetto tecnologico e diventa la radice materiale della fiducia digitale”, commenta Francesco Iezzi, Cybersecurity Specialist NHOA.

La vulnerabilità nei chip Qualcomm

La vulnerabilità nei chip Qualcomm risiede nel BootROM, il firmware integrato a livello hardware. “Prima del sistema operativo, prima degli agent di sicurezza, prima della cifratura, c’è il momento in cui il telefono decide se fidarsi di sé stesso. Se quel momento viene compromesso, tutto ciò che viene dopo rischia di diventare solo una sicurezza apparente”, spiega Francesco Iezzi, per mostrare quanto sia insidiosa questa falla.

La falla si riferisce alle serie Qualcomm MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 e SDX50. Kaspersky l’ha segnalata al vendor di chip oltre un anno fa: nel marzo 2025.

Qualcomm ha ammesso la vulnerabilità a livello formale nell’aprile successivo alla segnalazione, e le ha attribuito il codice CVE-2026-25262. Ma la vulnerabilità potrebbe riguardare anche altri chip, sempre basati su Qualcomm.

“Oggi lo smartphone è uno dei principali contenitori della nostra identità digitale. In un contesto enterprise, su quel dispositivo transitano email, contatti, credenziali, comunicazioni e accessi a servizi aziendali. Una falla a questo livello non riguarda quindi solo il device in sé, ma può trasformarlo in un punto di compromissione ad alto valore”, mette in guardia Francesco Iezzi.

I dettagli

Kaspersky ha messo al microscopio ilprotocollo Sahara, un sistema di comunicazione di livello basso, usato quando un chip Qualcomm entra in modalità EDL (Emergency Download Mode), una modalità di ripristino ideata per riparare o ripristinare smartphone od altri dispositivi.

Sahara costituisce il primo passaggio che permette a un Pc di connettersi al dispositivo e prima di caricare il software, dunque prima di avviare il sistema operativo sul dispositivo stesso.

I ricercatori hanno mostrato che una falla in questo processo potrebbe permettere a un attaccante – che abbia guadagnato accesso fisico al dispositivo colpito – di bypassare le protezioni integrate nel chip, compromettendo la catena di avvio sicuro e perfino riuscendo ad installare, in alcuni casi, applicazioni malevole e backdoor nel processore applicativo del chip. L’intero dispositivo ne risulterebbe compromesso.

“Il fatto che l’attacco richieda accesso fisico, ne limita lo sfruttamento su larga scala, ma non ne riduce la gravità. Anzi, lo rende pienamente phygital: in un mondo fatto di oggetti connessi, apparati industriali, modem, gateway, dispositivi medicali, automotive e infrastrutture critiche, il confine tra manomissione fisica e compromissione digitale diventa sempre più sottile. Un contatto fisico temporaneo può tradursi in persistenza digitale profonda, invisibile agli strumenti tradizionali e difficilmente sanabile con una semplice patch”, mette in evidenza Francesco Iezzi.

Un esempio: accesso alle password

Se l’aggressore ottenesse accesso alle password inserite dall’utente nel dispositivo di destinazione (smartphone o tablet), potrebbe accedere a diversi tipi di dati sensibili, quali file, contatti, posizione, oltre alla fotocamera e al microfono del dispositivo.

“Nel phigital, il chip non è un dettaglio tecnico: è il primo campo di battaglia. Ed è un caso che ci ricorda comela sicurezza informatica non sia mai soltanto digitale, ma anche profondamente fisica“, sottolinea Francesco Iezzi.

A un potenziale attaccante sono infatti sufficienti pochi minuti di accesso fisico a un dispositivo per mettere a repentaglio la sicurezza, mentre lo smartphone è in riparazione o è rimasto incustodito anche per un breve lasso di tempo.

Come mitigare il rischio

I ricercatori di Kaspersky sottolineano che la minaccia supera gli scenari relativi agli utenti finali e include potenziali violazioni già nella fase della supply chain.

“Vulnerabilità come questa potrebbero consentire agli hacker diinstallare malware difficili da individuare e rimuovere. In pratica, questo potrebbe permettere la raccolta occulta di dati o influenzare il comportamento dei dispositivi per lunghi periodi di tempo. Sebbene il riavvio possa sembrare un modo efficace per rimuovere tale malware, non è sempre affidabile: i sistemi compromessi possono simulare un riavvio senza effettivamente resettarsi. In questi casi, solo un’interruzione completa dell’alimentazione, compreso l’esaurimento della batteria, garantisce un riavvio pulito”, ha commentato Sergey Anufrienko, Security Expert di Kaspersky ICS CERT.

Il consiglio per le aziende e gli utenti consumer è di effettuare seri controlli di
sicurezza fisica sui dispositivi, anche in fase di approvvigionamento, manutenzione e dismissione.

Il riavvio del dispositivo deve avvenire, se possibile, interrompendo l’alimentazione del chip in esame, oppure scaricando completamente la batteria, per eliminare il malware, qualora risultasse installato.

“La difesa deve quindi partire dapiù livelli: controllo fisico del dispositivo, PIN e password robusti, cifratura, gestione tramite MDM, capacità di blocco o wipe remoto, monitoraggio delle anomalie e verifica continua della fiducia lungo tutto il ciclo di vita del prodotto. La lezione strategica è chiara: la cyber security non può più iniziare ‘dopo il boot’, ma deve partire dal prodotto, dal silicio, dalla supply chain e dalla custodia fisica”, avverte Francesco Iezzi.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Mirella Castigli
Giornalista
Giornalista pubblicista, collabora con AgendaDigitale.eu dal 2021. Laurea in Chimica Bio-organica all’Università degli Studi di Milano (1998, tesi sulla Chimica combinatoria, relatore Prof. Umberto Valcavi), collabora con CyberSecurity360, Pagamenti Digitali e BigData4Innovation (ora ZeroUno) dal 2021. In precedenza, ha collaborato con Computer Idea e alle inchieste di Pc Magazine come freelance (2000 – 2006), alla newsletter quotidiana e settimanale di VNUnet.it (VNU B. P.) dal 2004 e di ITespresso.it (2007-2017, NetMediaEurope). Nel 2002 è stata curatrice tecnica del progetto “Linee guida per la promozione della cittadinanza digitale: E-democracy” (progetto CRC con il Ministero per l’Innovazione e le Tecnologie). Ha scritto i libri “I motori di ricerca nel caos della rete” (ShaKe, 2000); Mela marcia (AgenziaX, 2010, ripubblicato come eBook da Punto-Informatico.it); Zero Privacy (Vidèa Instant Book). Attiva nella comunità degli Hackmeeting italiani dalla fine degli anni ’90, il suo hacktivismo e la sua cultura di rete sono stati citati in “Networking: The Net as Artwork”, scritto da Tatiana Bazzichelli (Costa & Nolan, 2006 /DARC Press, 2008). Ha lavorato come redattrice per “Le Sindache d’Italia” (ALI Autonomie), Reality book (Roma, 2021). Ha collaborato con Valigia Blu nel 2011. Un suo articolo, pubblicato da AgendaDigitale.eu, è citato sul Vocabolario Treccani alla voce “disruption”.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Cyberwarfare iraniano: oltre il nucleare, una potenza nascosta in espansione; In Iran la sorveglianza digitale va a caccia di manifestanti; Guerra in Iran, il blackout informativo come cyber sabotaggio; Data center in guerra: l'interruzione di Amazon Cloud negli Emirati arabi uniti dimostra che oggi il rischio è multi-rischio; LLM in guerra: il Pentagono aprirà alle aziende la possibilità di traininig dell'AI con dati riservati

  • guerra in iran

    L’attacco fisico al data center Amazon negli Emirati che ridefinisce il rischio cloud

    04 Mar 2026

    di Mirella Castigli

    Condividi
  • Rischio professionale CISO

  • l'approfondimento

    Rischio professionale del CISO: quando la sicurezza diventa responsabilità penale

    16 Dic 2025

    di Fabrizio Saviano

    Condividi
  • Cyber Resilience Act: la proposta della Commissione europea per la sicurezza dei dispositivi connessi; Uffizi nel mirino degli hacker: si riaccende il dibattito sulla cyber security del patrimonio culturale

  • Il caso

    Uffizi nel mirino degli hacker: si riaccende il dibattito sulla cyber security del patrimonio culturale

    03 Apr 2026

    di Federica Maria Rita Livelli

    Condividi
  • Da anello debole a cyber defender: il fattore umano contribuisce ad individuare attività sospette

  • STRATEGIE AZIENDALI

    Fattore umano, da anello debole a cyber defender: l'importanza della collaborazione

    05 Giu 2025

    di Gerardo Forliano

    Condividi
0
Lascia un commento, la tua opinione conta.x