یک آسیبپذیری بحرانی، صاحبان دستگاههای موبایل سامسونگ را در معرض حملات سایبری پیشرفته قرار داد. در ۱۰ نوامبر ۲۰۲۵، سازمان امنیت سایبری و زیرساخت (CISA) این آسیبپذیری که با شناسه CVE-2025-21042 شناخته میشود، به فهرست آسیبپذیریهای شناختهشده مورد سوءاستفاده (KEV) خود افزود. این فهرست، آسیبپذیریهای شناختهشدهای که در محیط واقعی مورد بهرهبرداری قرار گرفتهاند را لیست میکند و زمانبندی وصلهسازی برای نهادهای شاخه اجرایی فدرال غیرنظامی (FCEB) را تعیین میکند.
بنابراین، برای بسیاری از متخصصان امنیت سایبری، افزودن این آسیبپذیری به فهرست توسط CISA، هم اضطرار را نشان میدهد و هم تأیید استفاده فعال و واقعی از آن در جهان واقعی است.
گزارشها حاکی از این است که CVE-2025-21042 بهعنوان یک آسیبپذیری صفرروزی اجرای کد از راه دور (RCE) برای استقرار نرمافزار جاسوسی LANDFALL بر روی دستگاههای Galaxy در خاورمیانه مورد بهرهبرداری قرار گرفته است. اما پس از وقوع اینگونه حمله، دیگر جنایتکاران بهسرعت حملات مشابهی را دنبال میکنند.
این نقص در واقع یک آسیبپذیری نوشتن خارج از محدوده در کتابخانه پردازش تصویر سامسونگ است. این گونه آسیبپذیریها به مهاجمان امکان میدهند حافظه را فراتر از مقصود اولیه بازنویسی کنند؛ که معمولاً منجر به خرابی حافظه، اجرای کدهای غیرمجاز و در این مورد، تسلط کامل بر دستگاه میشود. CVE-2025-21042 امکان اجرای دلخواه کد توسط مهاجمان از راه دور را فراهم میآورد — در نتیجه میتوانند بدون هیچ تعامل کاربری، کنترل کامل گوشی قربانی را بهدست آورند. هیچ کلیکی لازم نیست. هیچ هشداری ارائه نمیشود.
سامسونگ این مشکل را در آوریل ۲۰۲۵ اصلاح کرد، اما اخطار اخیر CISA نشان میدهد که بهرهبرداریها به مدت ماهها در محیط واقعی فعال بودهاند و در بعضی موارد مهاجمان از مدافعان پیشی گرفتهاند. خطرات بسیار زیادند: سرقت دادهها، نظارت، و استفاده از دستگاههای موبایل بهدستدرآمد بهعنوان نقطه آغاز برای حملات گستردهتر به سازمانها.
دستنامهای که برای بهرهبرداری نوشته شده بهانداز همانقدر هوشمندانه و خطرناک است. بر اساس مطالعات Unit 42، جنایتکاران (احتمالاً بازیگران حملهگر خصوصیساز مستقر در خاورمیانه) این آسیبپذیری را برای تحویل نرمافزار جاسوسی LANDFALL از طریق فایلهای تصویر Digital Negative (DNG) معیوب که از طریق واتساپ ارسال میشدند، سلاحسازی کردند. DNG یک قالب تصویر RAW باز و بدون تلفات است که توسط Adobe توسعه یافته و توسط عکاسان دیجیتال برای ذخیرهسازی دادههای حسگر بدون فشردهسازی استفاده میشود.
زنجیره حمله به این شکل عمل میکند:
- قربانی یک فایل تصویر DNG حاوی تروجان دریافت میکند.
- این فایل، که از بارگذاریهای بایگانی ZIP و کد بهرهبرداری اختصاصی مجهز شده است، آسیبپذیری موجود در کتابخانه کدک تصویر سامسونگ را فعال میکند.
- این یک حمله «صفر‑کلیک» است: کاربر نیازی به لمس، باز کردن یا اجرای هیچچیزی ندارد؛ فقط پردازش تصویر برای بهدست آوردن کنترل دستگاه کافی است.
مهم است بدانید که سامسونگ در سپتامبر ۲۰۲۵ یک نقص دیگر در کتابخانه تصویر، CVE-2025-21043، را برطرف کرد؛ که نشاندهنده روند رو به رشد این است که نقصهای پردازش تصویر بهعنوان نقطهٔ ورودی محبوب برای جاسوسی و جرائم سایبری تبدیل شدهاند.
کاربران و شرکتها چه کاری باید انجام دهند؟
نصیحت ما برای ایمن ماندن در برابر این نوع حمله ساده است:
- فوراً وصله بزنید. اگر از آوریل دستگاه سامسونگ خود را بهروزرسانی نکردهاید، همین حالا انجام دهید. سازمانهای FCEB تا ۱ دسامبر ۲۰۲۵ زمان دارند تا با دستور عملیاتی CISA مطابقت کنند.
- از پیامها و فایلهای ناخواسته محتاط باشید، بهویژه تصاویری که از طریق برنامههای پیامرسان دریافت میشوند.
- برنامهها را فقط از منابع معتبر دانلود کنید و از نصب فایلهای جانبی (sideloading) پرهیز کنید.
- از راهحل آنتیمالور زمان واقعی بهروز استفاده کنید برای دستگاههای خود.
آسیبپذیریهای صفر‑روزی هدفدار دستگاههای موبایل به طرز ترسناکی رایج میشوند، اما با وصلهسازی فوری، آگاهی و اعمال کنترلهای امنیتی چابک میتوان خطر را کاهش داد. همانطور که LANDFALL نشان میدهد، خطرناکترین حملات امروز اغلب ساکتترین هستند—بدون نیاز به اقدام کاربر و بدون نشانههای واضح تا وقتی که دیر شده است.
مدلهای دستگاه هدفدار توسط LANDFALL:
Galaxy S23 Series
Galaxy S24 Series
Galaxy Z Fold4
Galaxy S22
Galaxy Z Flip4
ما فقط درباره امنیت گوشی گزارش نمیدهیم—بلکه آن را فراهم میکنیم
ریسکهای امنیت سایبری هرگز نباید فراتر از یک سرخط خبری گسترش یابند. با دانلود Malwarebytes برای iOS و Malwarebytes برای Android همین امروز، تهدیدها را از دستگاههای موبایل خود دور نگه دارید.
دیدگاهتان را بنویسید