Phát hiện lỗ hổng trên bộ vi xử lý: Nguy cơ rò rỉ dữ liệu và xâm nhập thiết bị
Lỗ hổng này tồn tại trong bộ nhớ khởi động tích hợp sẵn (BootROM) ở phần cứng, cho phép tin tặc truy cập dữ liệu, kiểm soát camera, micro và trong một số trường hợp có thể chiếm quyền kiểm soát toàn bộ thiết bị. Kết quả nghiên cứu đã được công bố tại sự kiện Black Hat Asia 2026.
Đội ngũ Ứng phó khẩn cấp an ninh mạng dành cho hệ thống điều khiển công nghiệp của Kaspersky (Kaspersky ICS CERT) vừa phát hiện một lỗ hổng phần cứng trong các bộ vi xử lý của Qualcomm, hiện được sử dụng phổ biến trên nhiều thiết bị tiêu dùng và công nghiệp như điện thoại thông minh (smartphone), máy tính bảng, linh kiện ô tô và các thiết bị kết nối.
Lỗ hổng ảnh hưởng đến các dòng bộ vi xử lý Qualcomm như MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 và SDX50, và thông tin này đã được báo cáo tới hãng vào tháng 3/2025.
Đến tháng 4/2025, Qualcomm chính thức xác nhận lỗ hổng trên với mã định danh CVE-2026-25262, đồng thời đề cập một số dòng bộ vi xử lý khác của hãng cũng có thể chịu ảnh hưởng.
Các chuyên gia đã tiến hành phân tích giao thức Sahara, một hệ thống giao tiếp tầng thấp được kích hoạt khi bộ vi xử lý của Qualcomm chuyển sang chế độ tải xuống khẩn cấp (Emergency Download Mode - EDL). Đây là chế độ phục hồi đặc biệt, thường được sử dụng để sửa chữa hoặc khôi phục điện thoại thông minh và các thiết bị khác.
Trong quy trình đó, giao thức Sahara đóng vai trò là bước đầu tiên, cho phép máy tính kết nối với thiết bị và tải phần mềm trước khi hệ điều hành khởi động.
Theo nghiên cứu của Kaspersky, ngay khi có quyền truy cập vật lý vào thiết bị, kẻ tấn công có thể khai thác lỗ hổng trong quy trình này để vượt qua các cơ chế bảo vệ quan trọng của bộ vi xử lý, làm suy yếu chuỗi khởi động an toàn.
Trong một số trường hợp, tin tặc còn có thể cài cắm ứng dụng độc hại hoặc cửa hậu vào bộ xử lý ứng dụng (application processor), từ đó dẫn đến việc kiểm soát hoàn toàn thiết bị.
Trên thực tế, với các thiết bị như smartphone hoặc máy tính bảng, kẻ tấn công có thể truy cập mật khẩu do người dùng nhập, từ đó mở rộng khả năng tiếp cận nhiều loại dữ liệu nhạy cảm như các tập tin, danh bạ, định vị cũng như quyền truy cập vào camera và micro của thiết bị.
Các nhà nghiên cứu cảnh báo mối đe dọa không chỉ dừng lại ở người dùng cuối, mà còn có nguy cơ phát sinh trong các giai đoạn của chuỗi cung ứng.
Sergey Anufrienko, chuyên gia bảo mật tại Kaspersky ICS CERT, cho biết: “Những lỗ hổng trong bộ vi xử lý như trên có thể bị khai thác để cài đặt phần mềm độc hại khó phát hiện và loại bỏ kịp thời. Điều này tạo điều kiện cho tin tặc trong việc thu thập dữ liệu một cách âm thầm hoặc can thiệp vào hoạt động của thiết bị trong thời gian dài”.
Dù thường được xem là giải pháp hiệu quả, nhưng việc khởi động lại thiết bị không phải lúc nào cũng tin cậy, do hệ thống đã bị xâm nhập có thể giả lập quá trình khởi động lại mà không thực sự được cài đặt lại. Trong những trường hợp như vậy, chỉ khi thiết bị bị ngắt hoàn toàn nguồn điện, bao gồm cả việc pin cạn, mới đảm bảo thiết bị được khởi động lại đúng cách.
Chuyên gia khuyến nghị các tổ chức và người dùng cá nhân cần kiểm soát chặt chẽ việc sử dụng và tiếp xúc với thiết bị trong suốt vòng đời, từ khâu cung ứng, bảo trì đến khi ngừng sử dụng.
Nếu thiết bị đã bị cài phần mềm độc hại, người dùng có thể thử khởi động lại bằng cách ngắt hoàn toàn nguồn điện cấp cho bộ vi xử lý (nếu có thể) hoặc để thiết bị cạn pin, nhằm loại bỏ mã độc./.
