Un nuovo exploit sta facendo parlare la comunità Android. Prende di mira lo Snapdragon 8 Elite Gen 5, il SoC che equipaggia oggi i top di gamma più importanti del panorama Android: dalla Xiaomi 17 series al OnePlus 15, fino al Galaxy S26 Ultra. L’exploit, già dimostrato con successo su diversi dispositivi, sfrutta una catena di vulnerabilità per aggirare le restrizioni del produttore e sbloccare il bootloader anche su modelli finora considerati difficili da modificare.

La portata reale della vulnerabilità dipende dal tipo di bootloader adottato da ciascun produttore. Ma le prime dimostrazioni pratiche, già documentate su hardware reale, rendono il tema urgente sia per i produttori coinvolti sia per Qualcomm.

Come funziona l’exploit GBL: dalla partizione efisp a SELinux

Il cuore tecnico dell’exploit risiede nell’architettura GBL, acronimo di Generic Bootloader Library, introdotta con i dispositivi basati su Android 16. Il meccanismo si attiva nel momento in cui l’ABL — ovvero l’Android Bootloader fornito da Qualcomm — carica il componente GBL dalla partizione efisp. Il problema è preciso: l’ABL dovrebbe verificare l’autenticità e l’integrità del codice caricato, ma nella pratica si limita a controllare la semplice presenza di un’app UEFI nella partizione, senza validarne la firma digitale.

Questa lacuna apre la strada al caricamento di codice non firmato nella partizione efisp, che il sistema esegue poi senza alcun controllo aggiuntivo. In termini pratici, significa che un attore con accesso fisico al dispositivo può sostituire il contenuto della partizione con codice arbitrario e farlo eseguire con piena fiducia da parte del bootloader.

Tuttavia, la partizione efisp non è scrivibile per impostazione predefinita. SELinux opera in modalità Enforcing e blocca qualsiasi operazione non autorizzata su quella partizione. Ed è qui che entra in gioco la seconda vulnerabilità della catena. Qualcomm implementa un comando fastboot denominato “fastboot oem set-gpu-preemption”, progettato per accettare come parametro i valori “0” oppure “1”. L’implementazione, però, accetta anche parametri aggiuntivi non verificati. Questo comportamento non previsto permette di iniettare nella riga di comando il parametro “androidboot.selinux=permissive”, forzando SELinux in modalità Permissive e rendendo così scrivibile la partizione efisp. A quel punto, la prima vulnerabilità diventa sfruttabile e la catena di exploit si completa.

Xiaomi 17 già colpita: MQSAS, Hyper OS e le prime patch

La catena di exploit è stata già dimostrata con successo su hardware reale. I dispositivi coinvolti nelle prime dimostrazioni pubbliche sono la Xiaomi 17 series, il Redmi K90 Pro Max e il POCO F8 Ultra, tutti equipaggiati con lo Snapdragon 8 Elite Gen 5. Lo sviluppatore Roger Ortiz ha contribuito in modo significativo alla ricostruzione tecnica della catena, documentata da Android Authority.

Nel caso della Xiaomi 17 series, l’exploit sfrutta un elemento aggiuntivo specifico dell’ecosistema Xiaomi: l’app MQSAS di Hyper OS, acronimo di MIUI Quality Service and Secure. In particolare, viene preso di mira il servizio binder IMQSNative e i permessi di sistema ad esso associati, utilizzati per scrivere un’app UEFI personalizzata direttamente nella partizione efisp. Al riavvio successivo, l’ABL carica questa app senza verificarne l’autenticità, replicando di fatto il comportamento del comando ufficiale “fastboot oem unlock”.

Per il mercato cinese, Xiaomi aveva costruito nel tempo un sistema di sblocco del bootloader deliberatamente ostile: limiti temporali, questionari obbligatori, restrizioni sul numero di dispositivi sbloccabili per account. Un approccio che aveva scoraggiato molti utenti dal tentare la procedura. L’exploit aggira completamente questo sistema. Xiaomi ha reagito rapidamente, distribuendo una patch dell’app MQSAS coinvolta nella catena. La correzione sarebbe inclusa nelle build Hyper OS 3.0.304.0 rilasciate in Cina. Non a caso, le istruzioni che circolano nelle community invitano gli utenti interessati a scollegare il dispositivo da Internet e a non installare aggiornamenti firmware, proprio per evitare che la patch venga applicata prima dell’utilizzo dell’exploit.

Impatto su altri produttori e stato delle patch Qualcomm

La portata potenziale dell’exploit va ben oltre Xiaomi. Dal momento che la vulnerabilità di base riguarda l’ABL fornito da Qualcomm, in linea teorica tutti i produttori che adottano questo bootloader potrebbero essere esposti. L’unica eccezione rilevante è Samsung, che utilizza un bootloader proprietario denominato S-Boot, indipendente dall’implementazione Qualcomm. Per tutti gli altri — da OnePlus a OPPO, da Motorola a Vivo — la vulnerabilità di base esiste, ma i passaggi intermedi della catena potrebbero variare in modo significativo a seconda delle personalizzazioni introdotte da ciascun OEM.

Poiché l’architettura GBL è strettamente legata ad Android 16, quest’ultimo rappresenta un requisito minimo per l’applicabilità dell’exploit. I dispositivi che operano su versioni precedenti del sistema operativo non sono interessati da questa specifica vulnerabilità.

Sul fronte delle correzioni, Qualcomm avrebbe già rilasciato una patch per il comando “fastboot oem set-gpu-preemption” e per altri comandi analoghi come “fastboot oem set-hw-fence-value”, anch’essi potenzialmente vulnerabili a iniezioni di parametri non verificati. Resta però aperta la questione più critica: la falla principale legata al caricamento del GBL senza verifica della firma è stata già corretta? E soprattutto, la correzione è già stata distribuita ai produttori e da questi agli utenti finali? Su questi punti Qualcomm non si è ancora espressa ufficialmente. Android Authority ha contattato il produttore per ottenere chiarimenti, ma al momento non sono arrivate risposte pubbliche sullo stato delle patch e sui tempi di distribuzione ai vari OEM coinvolti.