https://pepelac.news/it/posts/id32949-vulnerabilita-bootloader-qualcomm-exploit-gbl-su-android-16-e-sblocco-smartphone

Vulnerabilità bootloader Qualcomm: exploit GBL su Android 16 e sblocco smartphone

Vulnerabilità bootloader Qualcomm: come aggirare le restrizioni su Android 16

Vulnerabilità bootloader Qualcomm: exploit GBL su Android 16 e sblocco smartphone

Scoperta vulnerabilità nel bootloader Qualcomm che permette di eseguire codice non firmato e sbloccare smartphone Android 16. Exploit GBL su dispositivi flagship come Xiaomi 17 e Snapdragon 8 Elite Gen 5.

2026-03-15T14:32:41+03:00

Nel mondo Android è stata scoperta una nuova vulnerabilità che potrebbe cambiare il modo in cui i produttori vedono il blocco del bootloader degli smartphone. I ricercatori hanno trovato un modo per aggirare le restrizioni nell'architettura del bootloader Qualcomm, rendendo possibile eseguire codice non firmato e sbloccare il bootloader su alcuni dispositivi flagship moderni, prima considerati quasi impossibili da modificare.Il problema riguarda il meccanismo di caricamento del componente Generic Bootloader Library. Sui dispositivi con Android 16, il bootloader Qualcomm tenta di caricare questo modulo dalla partizione efisp, ma verifica solo la presenza di un'applicazione UEFI, non la sua autenticità. Questo crea un'opportunità per sostituire i contenuti della partizione ed eseguire codice arbitrario. L'exploit è stato provvisoriamente chiamato Qualcomm GBL Exploit ed è attivamente discusso nella comunità degli sviluppatori in questi ultimi giorni.Il meccanismo stesso richiede una catena di vulnerabilità aggiuntive. Per scrivere dati nella partizione efisp, gli attaccanti prima passano il sistema di sicurezza SELinux dalla modalità strict enforcement a permissive. Questo è diventato possibile a causa di un errore nel comando fastboot oem set-gpu-preemption, che accetta parametri aggiuntivi senza verifica. Di conseguenza, può essere aggiunto un parametro di avvio del sistema che cambia la modalità SELinux e permette di procedere con l'attacco.In pratica, questa catena è già stata usata per sbloccare i bootloader di diversi nuovi dispositivi, incluso Xiaomi 17, Redmi K90 Pro Max e POCO F8 Ultra, tutti basati sul chip flagship Snapdragon 8 Elite Gen 5. Qualcomm ha confermato l'esistenza del problema e ha dichiarato che le correzioni sono già state consegnate ai produttori di smartphone all'inizio di marzo 2026. Agli utenti si consiglia di installare gli aggiornamenti di sicurezza, anche se probabilmente chiuderanno questa nuova opportunità di sblocco del bootloader.

vulnerabilità bootloader Qualcomm, exploit GBL, sblocco bootloader Android, Android 16, Qualcomm GBL Exploit, smartphone Android, sicurezza Android, vulnerabilità sicurezza, Snapdragon 8 Elite Gen 5, Xiaomi 17, Redmi K90 Pro Max, POCO F8 Ultra

2026

Danny Weber

news

Vulnerabilità bootloader Qualcomm: come aggirare le restrizioni su Android 16

Danny Weber, Editor

14:32 15-03-2026

Il problema riguarda il meccanismo di caricamento del componente Generic Bootloader Library. Sui dispositivi con Android 16, il bootloader Qualcomm tenta di caricare questo modulo dalla partizione efisp, ma verifica solo la presenza di un'applicazione UEFI, non la sua autenticità. Questo crea un'opportunità per sostituire i contenuti della partizione ed eseguire codice arbitrario. L'exploit è stato provvisoriamente chiamato Qualcomm GBL Exploit ed è attivamente discusso nella comunità degli sviluppatori in questi ultimi giorni.

Il meccanismo stesso richiede una catena di vulnerabilità aggiuntive. Per scrivere dati nella partizione efisp, gli attaccanti prima passano il sistema di sicurezza SELinux dalla modalità strict enforcement a permissive. Questo è diventato possibile a causa di un errore nel comando fastboot oem set-gpu-preemption, che accetta parametri aggiuntivi senza verifica. Di conseguenza, può essere aggiunto un parametro di avvio del sistema che cambia la modalità SELinux e permette di procedere con l'attacco.

In pratica, questa catena è già stata usata per sbloccare i bootloader di diversi nuovi dispositivi, incluso Xiaomi 17, Redmi K90 Pro Max e POCO F8 Ultra, tutti basati sul chip flagship Snapdragon 8 Elite Gen 5. Qualcomm ha confermato l'esistenza del problema e ha dichiarato che le correzioni sono già state consegnate ai produttori di smartphone all'inizio di marzo 2026. Agli utenti si consiglia di installare gli aggiornamenti di sicurezza, anche se probabilmente chiuderanno questa nuova opportunità di sblocco del bootloader.