Słabość nie polega na jednym prostym błędzie, lecz na kombinacji kilku niedopatrzeń — od sposobu ładowania GBL, przez komendę fastboot, aż po dziurę w HyperOS Xiaomi — co razem pozwala ominąć dotychczas bardzo restrykcyjne mechanizmy blokujące dostęp do niskopoziomowych funkcji urządzenia.

Sednem tzw. Qualcomm GBL Exploit jest sposób, w jaki Android Bootloader (ABL) ładuje GBL z partycji „efisp” na urządzeniach z Androidem 16 i Snapdragonem 8 Elite Gen 5. ABL sprawdza jedynie, czy w tej partycji znajduje się aplikacja UEFI, zamiast weryfikować, czy jest to autentyczna i podpisana implementacja GBL. W praktyce oznacza to możliwość wgrania do „efisp” własnego, niepodpisanego kodu, który zostanie uruchomiony bez dodatkowych kontroli, co stanowi fundament całego exploita. To podejście jest szczególnie groźne dlatego, że dotyczy samego etapu rozruchu, gdzie zwykle zakłada się najwyższy poziom zaufania.

Teoretycznie zapis do partycji „efisp” nie powinien być możliwy w zwykłych warunkach, ponieważ SELinux na tych urządzeniach pracuje w trybie Enforcing i blokuje nieautoryzowane operacje. Aby obejść to ograniczenie, konieczne byłoby przełączenie SELinux w tryb Permissive, co z kolei wymaga uprawnień roota, które dopiero chcemy uzyskać poprzez exploit. Przełom przynosi jednak drugie niedopatrzenie: komenda bootloadera „fastboot oem set-gpu-preemption”, która poza oczekiwanym parametrem 0 lub 1 akceptuje dodatkowe, niesprawdzane argumenty i pozwala dopisać do linii komend jądra parametr „androidboot.selinux=permissive”. W efekcie pojedyncza komenda fastboot jest w stanie przełączyć SELinux w tryb Permissive i otworzyć drogę do modyfikacji „efisp”.

Na urządzeniach Xiaomi z serii 17 lukę w GBL i błąd w obsłudze fastboot połączono z kolejną podatnością w HyperOS, aby zbudować exploit do odblokowania bootloadera. Wykorzystuje się tu aplikację MQSAS (MIUI Quality Service and Secure) i jej usługę binder IMQSNative, która dysponuje uprawnieniami systemowymi wystarczającymi, by zapisać własną aplikację UEFI do partycji „efisp”. Po restarcie ABL, korzystając z luki GBL, ładuje tę niestandardową aplikację bez żadnej weryfikacji, a ta ustawia flagi „is_unlocked” i „is_unlocked_critical” na wartość „1”, dokładnie tak jak zrobiłaby to oficjalna komenda „fastboot oem unlock”. W praktyce oznacza to, że szczególnie restrykcyjne zasady Xiaomi dotyczące odblokowywania bootloadera, obejmujące limity czasowe, ankiety i ograniczenia urządzeń w wersji chińskiej, można obejść, co potwierdzono już m.in. na Xiaomi 17, Redmi K90 Pro Max i POCO F8 Ultra.

Nie jest jeszcze jasne, jak szeroki jest zasięg tej podatności poza Snapdragonem 8 Elite Gen 5, ale wszystko wskazuje na to, że warunkiem jest przynajmniej obecność GBL, który wprowadzany jest wraz z Androidem 16. Teoretycznie sam problem z GBL dotyka wszystkich producentów korzystających z ABL Qualcomma, z wyjątkiem Samsunga, który stosuje własny system rozruchowy S‑Boot, natomiast konkretne exploity będą różne w zależności od implementacji i dodatkowych luk w oprogramowaniu poszczególnych producentów.

Qualcomm już załatał błąd w komendzie „fastboot oem set-gpu-preemption” i innych podobnych poleceniach, publikując poprawki w swoim repozytorium, jednak nie ma jasnej informacji, czy poprawki trafiły już do producentów i użytkowników końcowych. Firma podkreśla, że łatki zostały udostępnione producentom na początku marca 2026 roku. Qualcomm chwali też laboratorium Xiaomi ShadowBlade za skoordynowane ujawnienie i apeluje, by użytkownicy jak najszybciej instalowali aktualizacje bezpieczeństwa — co z jednej strony podnosi poziom ochrony, a z drugiej zamyka lukę, która umożliwia „wyczekiwane” odblokowanie bootloadera na wielu topowych smartfonach.

Źródło: Android Authority