Qualcomm-Sicherheitskrise: Nicht patchbare BootROM Lücke und neue kritische CVEs setzen IoT, Smartphones und Automotive unter Dauerdruck

Die nicht patchbare Qualcomm-BootROM-Schwachstelle CVE-2026-25262 bleibt ein dauerhaftes Risiko für IoT-Infrastruktur, Smartphones und Kfz-Steuergeräte – und Googles Juni-Android-Sicherheitsbulletin zeigt, dass Qualcomm-Chips zeigt, dass Qualcomm-Chips weiterhin intensiv von Sicherheitsforschern untersucht werden und dabei neue Schwachstellen zutage treten.

Ende April stellten die Kaspersky-ICS-CERT-Forscher Alexander Kozlov und Sergey Anufrienko auf der Black Hat Asia 2026 eine Entdeckung vor, die das Vertrauen in die Sicherheitsarchitektur von Qualcomm-Chips grundlegend erschüttert. Seitdem hat sich die Lage nicht entspannt – im Gegenteil.

Der Angriffspunkt: BootROM und Emergency Download Mode

Das BootROM ist der Nur-Lese-Speicher, der direkt ins Silizium eingebrannt wird und als allererste Instanz beim Gerätestart ausgeführt wird. Es ist die Vertrauenswurzel der gesamten Sicherheitskette – und genau dort liegt das Problem.

Der Angriff nutzt den sogenannten Sahara-Protokoll-Stack, der Teil des Emergency Download Mode (EDL) ist. Servicecenter und Gerätehersteller nutzen diesen Modus, um defekte Geräte per USB-Verbindung wiederherzustellen. Weil Sahara direkt im BootROM implementiert ist, läuft er vor jedem Betriebssystem, vor jeder Zugriffskontrolle, vor jeder Sicherheitsprüfung. Der zugrundeliegende Fehler ist als CWE-123 (Write-What-Where Condition) klassifiziert: Angreifer könnten beliebige Daten an beliebige Speicheradressen schreiben – mit wenigen Minuten physischem USB-Zugang genug, um Passwörter, Geodaten und Gerätesensoren wie Kamera und Mikrofon zu kompromittieren oder vollständige Gerätekontrolle zu erlangen.

Betroffene Hardware: Kein Randproblem

CVE-2026-25262 betrifft die Chip-Serien MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 und SDX50 – vollständig, also alle bisher ausgelieferten Versionen. Die MDM9207-Familie steckt in Mobilfunk-Modulen für industrielle IoT-Anwendungen, Logistik-Trackern, Medizingeräten und Banking-Terminals. MSM8916 treibt zahlreiche Einsteiger-Smartphones an. SDX50 findet sich in Automotive-Steuergeräten. Das sind keine Nischenchips.

Qualcomm hat die Schwachstelle bestätigt und sie in sein Mai-Sicherheitsbulletin 2026 aufgenommen. Ein Patch für bereits produzierte Hardware ist technisch ausgeschlossen: Das BootROM ist unveränderlich. Qualcomm hat zugesagt, künftige Chip-Generationen ohne diesen Konstruktionsfehler auszuliefern.

Update Juni 2026: Qualcomm-Chips weiter im Visier

Das Googles Juni-Android-Sicherheitsbulletin enthält drei weitere kritische Qualcomm-Schwachstellen in Closed-Source-Komponenten (CVE-2025-47392, CVE-2026-25276, CVE-2026-25277), die jeweils einen CVSS-Score von 9.8 tragen. Sie betreffen Hardware-Abstraktionsschichten und erfordern separate Firmware-Updates durch die einzelnen Gerätehersteller – was angesichts der typisch langen Update-Ketten im IoT- und Automotive-Bereich in der Praxis bedeutet: viele Geräte werden diese Patches nie bekommen.

Aktive Exploits von CVE-2026-25262 in freier Wildbahn sind weiterhin nicht dokumentiert. Das ändert aber nichts an der strukturellen Gefährdungslage: Physischer Gerätezugang – über Reparaturen, Lieferkettenangriffe, Zollkontrollen oder Insider – ist in industriellen und mobilen Umgebungen ein realistisches Angriffsszenario.

Was Betreiber jetzt tun können

Kaspersky empfiehlt strikte physische Zugangskontrollen, ausschließlich autorisierte Servicecenter für Reparaturen und konsequente Firmware-Updates, letztere schließen zwar nicht die BootROM-Lücke, können aber verwandte Schwachstellen auf höheren Ebenen beseitigen. Zeigt ein Gerät nach unbeaufsichtigtem Zeitraum ungewöhnliches Verhalten wie nicht erklärbaren Netzwerkverkehr, hilft ein vollständiger Akkuentzug: Der eingeschleuste Code übersteht nach aktuellem Forschungsstand keinen vollständigen Stromverlust.

Quellen: Kaspersky ICS CERT, SOCRadar – Juni Android Security Bulletin