Qualcomm публикува критични обновления по сигурността за три уязвимости от типа нулев ден (zero-day) в драйвера на Adreno Graphics Processing Unit (GPU), които засягат десетки чипсети и вече са били използвани в таргетирани атаки. Две от уязвимостите са с критична степен на опасност, а третата — с висока.
Кои са засегнатите уязвимости?
Двете критични уязвимости — CVE-2025-21479 и CVE-2025-21480 — са идентифицирани от екипа по сигурността на Google Android още през януари 2025 г. Те представляват проблеми с неправилно управление на разрешенията (authorization flaws) в графичната подсистема, позволяващи неоторизирано изпълнение на команди в т.нар. micronode на GPU при определена последователност от заявки. Това води до повреди в паметта (memory corruption) и потенциално изпълнение на зловреден код.
Третата уязвимост — CVE-2025-27038, докладвана през март, е класифицирана като високорискова и се отнася до use-after-free грешка при рендериране на графика чрез Adreno драйверите в браузъра Chrome, което също води до повреди в паметта и може да бъде използвано за компрометиране на устройството.
Активна експлоатация и реакция
Според Qualcomm, Google Threat Analysis Group (TAG) е открила доказателства, че всички три уязвимости вече са използвани в реални атаки — макар и с ограничен обхват и насочени към специфични цели. Това поставя под въпрос защитеността на мобилни устройства, които използват засегнатите GPU драйвери.
Обновления за драйверите вече са доставени на производителите на устройства (OEMs) през май 2025 г., като Qualcomm силно препоръчва бързо прилагане на пачовете.
Други уязвимости, решени този месец
Освен проблемите с Adreno GPU, Qualcomm е отстранила и друга сериозна уязвимост — CVE-2024-53026 — свързана с Data Network Stack & Connectivity. Тя позволява на неавтентифицирани атакуващи да получат достъп до чувствителна информация чрез изпращане на зловредни RTCP пакети по време на VoLTE или VoWiFi IMS разговори.
Предходни инциденти и шпионски атаки
Това не е първият случай на уязвимости в графичната инфраструктура на Qualcomm. През 2024 г. компанията закърпи друг zero-day (CVE-2024-43047), използван от Сръбската разузнавателна служба (BIA) и полицията за отключване на конфискувани Android устройства чрез израелския инструмент Cellebrite. При разследването Google TAG установи, че устройствата също са били заразени със шпионския софтуер NoviSpy, използващ верига от експлойти за инсталация на ниво ядро на операционната система.
Заключение
С нарастващата сложност на мобилните платформи и широкото разпространение на устройства с Adreno GPU, сигурността на графичния драйвер се превръща в критична зона за защита. Qualcomm подчертава важността на незабавното прилагане на обновленията и насърчава крайните потребители да се уверят, че използват последните версии на фърмуера.
С оглед на факта, че тези уязвимости вече се експлоатират, реакцията трябва да бъде бърза — особено от страна на организациите, които управляват големи мобилни флотилии или оперират в сектори с висок риск, като журналистика, правозащита и активизъм.
