یک آسیبپذیری بحرانی صاحبحسابهای دستگاههای موبایل سامسونگ را در معرض حملات پیشرفتهٔ سایبری قرار داده است. در ۱۰ نوامبر ۲۰۲۵، آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA) این آسیبپذیری که بهعنوان CVE-2025-21042 شناخته میشود، به فهرست آسیبپذیریهای شناختهشدهٔ مورد بهرهبرداری (KEV) افزوده شد. این فهرست، آسیبپذیریهایی را که بهطور شناختهشدهای در عمل مورد استفاده قرار گرفتهاند، فهرست میکند و مهلتهای اعمال وصله را برای سازمانهای فدرال مدنی (FCEB) تعیین مینماید.
بنابراین، برای بسیاری از متخصصان امنیت سایبری، افزودن این آسیبپذیری به فهرست توسط CISA، هم حس اضطراری و هم تأیید بهرهبرداری فعال و واقعی از آن را نشان میدهد.
به گزارشها، CVE-2025-21042 بهعنوان یک خطروز اجرای کد از راه دور (RCE) مورد سوءاستفاده قرار گرفته و نرمافزار جاسوسی LANDFALL را بر روی دستگاههای گلکسی در خاورمیانه مستقر کرده است. اما پس از این اتفاق، سایر جرایمپذیرها بهسرعت با حملات مشابه پیروی میکنند.
خصلت اصلی این نقص، یک آسیبپذیری نوشتن خارج از محدوده (out‑of‑bounds) در کتابخانهٔ پردازش تصویر سامسونگ است. این نوع آسیبپذیریها به مهاجمان امکان میدهند حافظه را فراتر از مقادیر مورد انتظار بازنویسی کنند که اغلب منجر به فساد حافظه، اجرای کد غیرمجاز و در این مورد، تصاحب دستگاه میشود. CVE-2025-21042 به مهاجمان از راه دور اجازه میدهد کد دلخواه اجرا کنند — و بهطور بالقوه کنترل کامل بر گوشی هدف را بدون هیچ تعامل کاربری به دست آورند. کلیککردن لازم نیست. هشدار هم داده نمیشود.
سامسونگ این مشکل را در آوریل ۲۰۲۵ برطرف کرد، اما هشدار اخیر CISA نشان میدهد که بهرهبرداریها بهمدت ماهها در محیطهای واقعی فعال بودهاند و در برخی موارد مهاجمان از مدافعان جلو میزنند. خطرات بالا هستند: سرقت داده، نظارت، و استفاده از دستگاههای موبایل بهعنوان نقطهٔ ورود برای حملات گستردهتر سازمانی.
راهنمای بهرهبرداری به همان اندازه هوشمندانه که خطرناک است. بر اساس پژوهشهای Unit 42، جنایتکاران (احتمالاً فعالان تهاجمی بخش خصوصی مستقر در خاورمیانه) این آسیبپذیری را سلاحسازی کرده و نرمافزار جاسوسی LANDFALL را از طریق فایلهای تصویر Digital Negative (DNG) خرابشده که از طریق واتساپ ارسال میشد، تحویل دادند. DNG یک قالب تصویر RAW باز و بدون از دست رفتن کیفیت است که توسط Adobe توسعه یافته و عکاسان دیجیتال برای ذخیرهٔ دادههای حسگر فشردهنشده استفاده میکنند.
زنجیرهٔ حمله به این شکل عمل میکند:
- قربان یک فایل تصویر DNG حاوی تله دریافت میکند.
- این فایل که همراه با بارگذاریهای بایگانی ZIP و کد بهرهبرداری سفارشی شده است، نقص موجود در کتابخانهٔ رمزگشایی تصویر سامسونگ را فعال میکند.
- این یک حملهٔ «صفر‑کلیک» است: کاربر نیازی به لمس، باز کردن یا اجرای هیچچیزی ندارد. فقط پردازش تصویر به تنهایی برای بهدستگیری دستگاه کافی است.
مهم است بدانیم که سامسونگ یک نقص دیگر در کتابخانهٔ تصویر، CVE-2025-21043، را در سپتامبر ۲۰۲۵ رفع کرده است، که نشاندهندهٔ روند رو به رشد است: نقصهای پردازش تصویر بهعنوان نقطهٔ ورودی محبوب برای جاسوسی و جرمهای سایبری تبدیل میشوند.
کاربران و کسبوکارها چه اقداماتی باید انجام دهند؟
مشاورهٔ ما برای ایمنی در برابر این نوع حمله ساده است:
- فوراً وصله (بهروزرسانی) کنید. اگر دستگاه سامسونگ خود را از آوریل بهروزرسانی نکردهاید، همین حالا این کار را انجام دهید. سازمانهای FCEB تا ۱ دسامبر ۲۰۲۵ زمان دارند تا با دستورالعمل عملیاتی CISA مطابقت کنند.
- از پیامها و فایلهای ناخواسته مراقبت کنید، بهویژهٔ تصاویری که از طریق برنامههای پیامرسان دریافت میشوند.
- برنامهها را فقط از منابع معتبر بارگیری کنید و از نصب فایلها از منابع غیررسمی (سایدلود) پرهیز کنید.
- از یک راهحل ضد‑بدافزار لحظهبه‑لحظه بهروز استفاده کنید برای دستگاههای خود.
خطروزهای هدفدار به دستگاههای موبایل بهطور نگرانکنندهای شایع شدهاند، اما خطر میتواند با وصلهگذاری فوری، آگاهی و کنترلهای امنیتی مستحکم کاهش یابد. همانطور که LANDFALL نشان میدهد، خطرناکترین حملات امروز اغلب خاموشترین هستند — بدون نیاز به اقدام کاربر و بدون نشانههای واضح تا زمانی که دیگر دیر باشد.
مدلهای دستگاه هدفدار توسط LANDFALL:
سری Galaxy S23
سری Galaxy S24
Galaxy Z Fold4
Galaxy S22
Galaxy Z Flip4
ما تنها دربارهٔ امنیت گوشی گزارش نمیدهیم — بلکه آن را فراهم میکنیم
خطرات امنیت سایبری هرگز نباید فراتر از یک تیتر خبری گسترش یابند. با دانلود Malwarebytes برای iOS و Malwarebytes برای Android هماکنون، تهدیدها را از دستگاههای موبایل خود دور نگهدارید.
دیدگاهتان را بنویسید