El Snapdragon 8 Elite Gen 5 es el buque insignia actual chip para teléfonos Android premium. Alimenta Xiaomi 17 Ultra, OnePlus 15, Galaxy S26 Ultra y algunos otros. Sin embargo, un nuevo exploit GBL de Qualcomm está supuestamente afectando SoC de Qualcomm, principalmente el último chip Snapdragon 8 Elite Gen 5. Aparentemente, esto permite a los usuarios desbloquear el gestor de arranque en teléfonos que antes eran difíciles de desbloquear.
El exploit GBL de Qualcomm afecta al chip Snapdragon 8 Elite Gen 5
Según se informa, el nuevo exploit GBL de Qualcomm ha sido circulante durante los últimos días. Esto parece tener como objetivo un descuido en cómo se carga GBL (Biblioteca de cargador de arranque genérico) en Androide Smartphones con SoC de Qualcomm. En breve, de Qualcomm El cargador de arranque de Android (ABL) específico del proveedor está intentando cargar el GBL desde la partición “efisp” en teléfonos con Android 16.
En este proceso, Qualcomm ABL simplemente verifica la presencia de la aplicación UEFI en esa partición, en lugar de verificar su autenticidad como GBL. Este descuido permite cargar código sin firmar en la partición efisp, que se ejecuta sin verificación. Esto forma la base del exploit GBL de Qualcomm.
Apunta a una supervisión
De forma predeterminada, no es posible escribir en la partición efisp porque SELinux se ejecuta en modo Enforcing, que bloquea las acciones no permitidas. Para habilitar el acceso de escritura, SELinux debe estar configurado en modo permisivo, lo que requiere privilegios de root. Sin embargo, necesita Permissive SELinux para desbloquear el gestor de arranque mediante el exploit GBL y obtener acceso de root. Aparentemente aquí es donde entra en juego otra vulnerabilidad.
ABL de Qualcomm incluye un comando fastboot, “fastboot oem set-gpu-preemption”, que acepta 0 o 1 como primer parámetro. Sin embargo, el comando también parece aceptar involuntariamente argumentos de entrada sin ninguna verificación o desinfección, lo que le permite agregar parámetros personalizados a la línea de comando. Esto, a su vez, se utiliza para agregar el parámetro “androidboot.selinux-permissive” y cambiar SELinux de Enforcing a Permissive. El comando “fastboot set-gpu-preemption 0 androidboot.selinux=permissive” sorprendentemente cambia SELinux a Permissive.
Desbloqueo del gestor de arranque Xiaomi 17 mediante el exploit GBL
En la serie Xiaomi 17, el exploit encadena el servicio de carpeta IMQSNative de la aplicación MQSAS (MIUI Quality Service and Secure) de HyperOS y sus permisos a nivel de sistema para escribir una aplicación UEFI personalizada en la partición efisp. Después de reiniciar, ABL carga esta aplicación UEFI personalizada sin verificación, gracias al exploit GBL.
Luego, la aplicación desbloquea el gestor de arranque configurando is_unlocked e is_unlocked_critical en 1, reflejando el efecto del comando estándar «fastboot oem unlock». Este exploit desbloqueó los gestores de arranque de Xiaomi 17, Redmi K90 Pro Max y POCO F8 Ultra. Todos los teléfonos usan el Snapdragon 8 Elite Generación 5 SoC.
Xiaomi había impuesto estrictas restricciones basadas en tiempo, cuestionarios y dispositivos limitados para el desbloqueo del gestor de arranque en sus teléfonos destinados al mercado chino. Aparentemente, esto era tan estricto que la mayoría de los usuarios eventualmente abandonaron la idea de desbloquear el gestor de arranque, hasta que se produjo el exploit. Informes sugerir que Xiaomi pronto parcheará la aplicación utilizada en la cadena de exploits, potencialmente ya abordándola con las últimas versiones de Hyper OS 3.0.304.0 lanzadas en China.
Samsung utiliza su propio S-Boot
No está claro si el exploit GBL puede funcionar en otros Qualcomm SoC además del Snapdragon 8 Elite Gen 5. Sin embargo, dado que Android 16 introduce GBL, parece ser un requisito por ahora. Además, el exploit GBL debería afectar a todos los OEM, excepto a Samsung, que utiliza su propio S-Boot en lugar del ABL de Qualcomm. Sin embargo, la cadena de vulnerabilidad completa necesaria para el éxito variará según el fabricante.
Según se informa, Qualcomm ya ha solucionado las comprobaciones del comando «fastboot oem set-gpu-preemption», así como otros comandos como «fastboot oem set-hw-fence-value» que no formaban parte de la cadena de exploits. No está claro si existe una solución para el exploit GBL base en este momento.
Fuente: Android Headlines