Forscher umgehen Qualcomm-Bootloader-Beschränkungen, ermöglichen unsignierten Code auf Geräten wie Xiaomi 17. Qualcomm liefert Korrekturen.
© A. Krivonosov
Eine neue Sicherheitslücke im Android-Universum könnte die Sichtweise der Hersteller auf gesperrte Bootloader grundlegend verändern. Forscher haben einen Weg gefunden, um Beschränkungen in der Qualcomm-Bootloader-Architektur zu umgehen. Dadurch lässt sich auf einigen modernen Top-Geräten, die bisher als nahezu unveränderbar galten, unsignierter Code ausführen und der Bootloader entsperren.
Das Problem betrifft den Lademechanismus der Generic Bootloader Library. Bei Geräten mit Android 16 versucht der Qualcomm-Bootloader, dieses Modul von der efisp-Partition zu laden, prüft aber nur das Vorhandensein einer UEFI-Anwendung, nicht deren Authentizität. So kann der Inhalt der Partition ersetzt und beliebiger Code ausgeführt werden. Diese Schwachstelle wird vorläufig als Qualcomm GBL Exploit bezeichnet und wird in der Entwicklergemeinde derzeit intensiv diskutiert.
Der Mechanismus selbst erfordert eine Kette zusätzlicher Schwachstellen. Um Daten auf die efisp-Partition zu schreiben, schalten Angreifer zunächst das SELinux-Sicherheitssystem vom strikten in den permissiven Modus. Dies wurde durch einen Fehler im Befehl fastboot oem set-gpu-preemption möglich, der zusätzliche Parameter ohne Überprüfung akzeptiert. Dadurch lässt sich ein Systemstartparameter hinzufügen, der den SELinux-Modus ändert und den Angriff ermöglicht.
In der Praxis wurde diese Kette bereits genutzt, um Bootloader auf mehreren neuen Geräten zu entsperren, darunter das Xiaomi 17, das Redmi K90 Pro Max und das POCO F8 Ultra, die alle auf dem Top-Chip Snapdragon 8 Elite Gen 5 basieren. Qualcomm hat das Problem bestätigt und erklärt, dass Korrekturen bereits Anfang März 2026 an Smartphone-Hersteller ausgeliefert wurden. Nutzern wird empfohlen, Sicherheitsupdates zu installieren, auch wenn diese diese neu entdeckte Bootloader-Entsperrungsmöglichkeit wohl schließen werden.