Stell dir vor, du gibst dein Smartphone zur Reparatur. Ein paar Tage sp\u00e4ter holst du es ab und bist froh, dass es wieder funktioniert! Was du nicht erf\u00e4hrst: Auf deinem Ger\u00e4t wurde b\u00f6sartiger Code injiziert, und Angreifer k\u00f6nnen jetzt sogar auf dein Smartphone zugreifen, wenn es gesperrt ist.<\/p>\n
So beginnt die Geschichte, die Alexander Kozlov und Sergey Anufrienko, Forscher bei Kaspersky ICS CERT, auf der Konferenz Black Hat Asia 2026<\/a> erz\u00e4hlt haben. Sie haben eine Schwachstelle aufgedeckt, die alle gewohnten Vorstellungen \u00fcber die Sicherheit von Smartphones und IoT auf den Kopf stellt. Und dabei geht es um das Herzst\u00fcck von Qualcomm-Chips.<\/p>\n Um das Ausma\u00df dieser Entdeckung zu erfassen, sehen wir uns zun\u00e4chst an, wie ein modernes Ger\u00e4t mit einem Qualcomm-Chip gestartet wird. Man k\u00f6nnte es als eine Festung mit mehreren Sicherheitsebenen betrachten. Auf jeder nachfolgenden Ebene wird die Erlaubnis \u00fcberpr\u00fcft, die auf der vorherigen Ebene erteilt wurde. Das Fundament und damit die vertrauensw\u00fcrdigste Ebene ist das BootROM: ein schreibgesch\u00fctzter Speicher, der direkt in das Silizium eingebrannt ist und nicht mehr ver\u00e4ndert werden kann, nachdem der Chip die Fabrik<\/a> verlassen hat.<\/p>\n Wenn ein Ger\u00e4t eingeschaltet wird, wird zuallererst das BootROM ausgef\u00fchrt. Es \u00fcberpr\u00fcft die Signatur des n\u00e4chsten Bootloaders, der wiederum den nachfolgenden \u00fcberpr\u00fcft. So wird eine Vertrauenskette bis zum Betriebssystem aufgebaut. Gelingt es einem Angreifer, diese Kette auf BootROM-Ebene zu kompromittieren, hat er ins Schwarze getroffen: Dann wird der b\u00f6sartige Code ausgef\u00fchrt, bevor das eigentliche Betriebssystem \u00fcberhaupt geladen ist.<\/p>\n Genau zu diesem Zweck k\u00f6nnen Angreifer die Schwachstelle CVE-2026-25262<\/a> ausnutzen, die von Kaspersky ICS CERT entdeckt wurde.<\/p>\n Am Anfang der Studie stand das Sahara-Protokoll. Dies ist eine Komponente des Notfall-Download-Modus (Emergency Download Mode, EDL). Hersteller und Service-Center verwenden es, um defekte Ger\u00e4te zu reanimieren. Dazu wird das Telefon \u00fcber USB mit einem Computer verbunden und ein spezielles, vom Hersteller (in unserem Fall Qualcomm) signiertes Dienstprogramm wird darauf hochgeladen.<\/p>\n Sahara wird direkt im ARM\u00a0PBL (Primary Boot Loader) implementiert, also im BootROM. Zuerst wird dieses Protokoll ausgef\u00fchrt. Erst danach wird ein Betriebssystem gestartet, werden Benutzerzugriffsrechte \u00fcberpr\u00fcft und Sicherheitskontrollen aktiviert. Das Ger\u00e4t wartet einfach auf eine USB-Verbindung und ist bereit, Daten zu empfangen.<\/p>\n Das Kommunikationsschema ist simpel: Das Ger\u00e4t sendet einen Handshake (HALLO) an den Computer, der Computer w\u00e4hlt den Modus aus, das Dienstprogramm wird blockweise hochgeladen und schlie\u00dflich f\u00fchrt das Ger\u00e4t den hochgeladenen Code aus. Und genau in der Verifizierungslogik dieser Dateibl\u00f6cke wurde die Schwachstelle gefunden.<\/p>\n Der Fehler, f\u00fcr den die Entwickler verantwortlich sind, wurde als CWE-123 klassifiziert und wird auch \u201eWrite-What-Where\u201c-Bedingung genannt. Dies ist eine der gef\u00e4hrlichsten Fehlerklassen in der Low-Level-Programmierung. Ein Angreifer kann beliebige Daten an eine beliebige Adresse im Ger\u00e4tespeicher schreiben.<\/p>\n Lassen wir technische Details beiseite und sagen es ganz einfach: Durch Ausnutzung dieser Schwachstelle k\u00f6nnen Angreifer Zugriff auf alle Daten auf dem Ger\u00e4t erhalten. Darunter vom Benutzer eingegebene Passw\u00f6rter, Dateien, Kontakte, Standortdaten und Hardware-Sensoren wie Kamera und Mikrofon. Unter bestimmten Bedingungen ist sogar die vollst\u00e4ndige Kontrolle \u00fcber das Ger\u00e4t m\u00f6glich. Ein Angreifer ben\u00f6tigt nur wenige Minuten physischen Zugriffs \u00fcber eine Kabelverbindung, schon ist das Ger\u00e4t kompromittiert. Dieses Risiko besteht beispielsweise, wenn du dein Smartphone zur Reparatur bringst, es anderen Personen \u00fcberl\u00e4sst, damit diese Apps darauf einrichten oder installieren, oder das Ger\u00e4t unbeaufsichtigt l\u00e4sst.<\/p>\n Die Schwachstelle CVE-2026-25262 betrifft folgende Serien von Qualcomm-Chip: MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 und SDX50\u00a0in allen bisher ver\u00f6ffentlichten Versionen und solange die Schwachstelle vom Hersteller nicht gepatcht wird.<\/p>\n Und diese Chips sind keineswegs verstaubte Ladenh\u00fcter. MDM9207, den wir f\u00fcr den Gro\u00dfteil unserer Untersuchungen verwendet haben, ist in Modem-Modulen f\u00fcr Internet der Dinge (IoT), Industrieanlagen, Smart Home-Ger\u00e4te, Gesundheits\u00fcberwachungssysteme, Logistik-Tracker und Bankterminals zu finden. MSM8916 ist in vielen g\u00fcnstigen Smartphones<\/a> verbaut, w\u00e4hrend SDX50 in Steuerger\u00e4ten f\u00fcr Kraftfahrzeuge seinen Dienst tut.<\/p>\n F\u00fcr Angreifer hat die Schwachstelle einen Haken: Ohne physischen Zugriff auf das Ger\u00e4t geht nichts. Diese M\u00f6glichkeit gibt es aber in folgenden F\u00e4llen:<\/p>\n Ein Angreifer braucht nur wenige Minuten physischen Zugriffs auf das Ger\u00e4t, um eine Hintert\u00fcr so tief ins Ger\u00e4t einzubauen, dass sie mit herk\u00f6mmlichen Analysetools meist nicht erkennbar ist.<\/p>\n Qualcomm wurde im M\u00e4rz\u00a02025 \u00fcber den Fund informiert, und das Unternehmen best\u00e4tigte, dass die Schwachstelle in seinen Chips vorliegt. Zur Identifizierung der Schwachstelle reservierte der Hersteller die Kennung CVE-2026-25262<\/a>. Am 20.\u00a0April\u00a02026 ver\u00f6ffentlichte<\/a> Kaspersky ICS CERT technische Informationen \u00fcber die Schwachstelle nebst Empfehlungen f\u00fcr Nutzer.<\/p>\n Die Schwachstelle ist im May 2026 Security Bulletin<\/a> von Qualcomm verzeichnet. Bereits hergestellte Ger\u00e4te lassen sich grunds\u00e4tzlich nicht mehr fixen. Immerhin hat das Unternehmen versprochen, diese Schwachstelle in allen zuk\u00fcnftigen Chips zu vermeiden.<\/p>\n Falls du ein Ger\u00e4t mit einem betroffenen Chip besitzt, kannst du das Infektionsrisiko anhand der folgenden Tipps minimieren.<\/p>\n Wenn du bemerkst, dass sich ein Ger\u00e4t, das einen anf\u00e4lligen Qualcomm-Chip enth\u00e4lt, seltsam verh\u00e4lt (\u00dcberhitzung im Leerlauf, unerwartete Spitzen im Netzwerkverkehr oder ungew\u00f6hnliches Verhalten von Apps), wurde die Schwachstelle m\u00f6glicherweise bereits ausgenutzt. Um den b\u00f6sartigen Code zu l\u00f6schen und dein Ger\u00e4t in den Ausgangszustand zur\u00fcckzusetzen, musst du einfach die Stromversorgung vollst\u00e4ndig unterbrechen. Dazu nimmst du entweder den Akku heraus oder wartest, bis er vollst\u00e4ndig entladen ist und sich das Ger\u00e4t ganz ausschaltet. In diesem Fall verbleibt der Schadcode h\u00f6chstwahrscheinlich nicht auf dem Ger\u00e4t. Zumindest fanden wir bei unseren Studien keine Hinweise darauf, dass der Code im permanenten Speicher erhalten bleibt.<\/p>\n Welche schwerwiegenden Schwachstellen gibt es noch f\u00fcr Android-Smartphones? Mehr dazu in diesen Artikeln:<\/p>\n Angriffe auf 5G-Netze: Das Wettr\u00fcsten geht weiter<\/a><\/p>\n Spionieren Geolokalisierungsdienste Sie aus?<\/a><\/p>\n Pixnapping-Schwachstelle: Erzwungene Screenshots auf Android-Smartphones<\/a><\/p>\nWas ist BootROM?<\/h2>\n
Notfall-Download-Modus als Einstiegspunkt<\/h2>\n
Schreib, was und wo du willst: der Kern der Schwachstelle<\/h2>\n
Betroffene Ger\u00e4te<\/h2>\n
So werden verwundbare Ger\u00e4te angegriffen<\/h2>\n
\n
Warum gibt es keinen Patch?\u00a0\u2013 Und was kann man trotzdem tun?<\/h2>\n
\n