حفره صفر‌روز سامسونگ به مهاجمان اجازه می‌دهد تلفن شما را به‌دست بگیرند

یک آسیب‌پذیری بحرانی خطر حملات سایبری پیشرفته را برای مالکان دستگاه‌های موبایل سامسونگ به‌وجود آورده است. در ۱۰ نوامبر ۲۰۲۵، آژانس امنیت سایبری و زیرساخت‌های ایالات متحده (CISA) این آسیب‌پذیری با شناسه CVE-2025-21042 را به فهرست آسیب‌پذیری‌های شناخته‌شده مورد سوءاستفاده (KEV) افزود. فهرست KEV شامل آسیب‌پذیری‌هایی است که در عمل مورد بهره‌برداری قرار گرفته‌اند و مهلت‌های نصب وصله را برای سازمان‌های فدرال بخش اجرایی غیرنظامی (FCEB) تعیین می‌کند.

بنابراین، برای بسیاری از متخصصان امنیت سایبری، افزودن این آسیب‌پذیری به فهرست توسط CISA نشانگر اضطراری بودن وضعیت و تأیید بهره‌برداری فعال و واقعی از آن است.

گفته می‌شود که CVE-2025-21042 به‌عنوان یک حفره صفر‌روز اجرای کد از راه دور (RCE) برای استقرار نرم‌افزار جاسوسی LANFDALL بر روی دستگاه‌های گلکسی در خاورمیانه مورد سوءاستفاده قرار گرفته است. اما پس از این اتفاق، سایر مجرمان به سرعت حملات مشابهی را دنبال می‌کنند.

خود نقص یک آسیب‌پذیری نوشتن خارج از محدوده در کتابخانه پردازش تصویر سامسونگ است. این نوع آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند حافظه را فراتر از مقصود اولیه بازنویسی کنند که معمولاً منجر به فساد حافظه، اجرای کد غیرمجاز و در این مورد به تسلط بر دستگاه می‌شود. CVE-2025-21042 به مهاجمان از راه دور امکان اجرای کد دلخواه را می‌دهد — به‌طوری که می‌توانند کنترل کامل بر گوشی قربانی را بدون هیچ‌گونه تعامل کاربری به‌دست آورند. کلیکی لازم نیست. هیچ هشداری ارائه نمی‌شود.

سامسونگ این مشکل را در آوریل ۲۰۲۵ اصلاح کرد، اما هشدار اخیر CISA نشان می‌دهد که بهره‌برداری‌ها در طول ماه‌ها در عمل فعال بوده‌اند و در برخی موارد مهاجمان از مدافعان پیشی گرفته‌اند. خطرات بالاست: سرقت داده، نظارت و استفاده از دستگاه‌های موبایل تحت‌تسلط به‌عنوان درگاه‌های ورودی برای حملات گسترده‌تر سازمانی.

دست‌نامهٔ بهره‌برداری به همان اندازه هوشمندانه است که خطرناک نیز می‌باشد. بر اساس پژوهش Unit 42، مجرمان (احتمالاً فعالان تهاجمی بخش خصوصی در خاورمیانه) این آسیب‌پذیری را برای توزیع نرم‌افزار جاسوسی LANFDALL از طریق فایل‌های تصویری Digital Negative (DNG) معیوب که از طریق واتساپ ارسال می‌شدند، سلاح‌دار کردند. DNG یک قالب تصویر RAW باز و بدون فقدان است که توسط ادوبی توسعه یافته و توسط عکاسان دیجیتال برای ذخیره‌سازی داده‌های حسگر بدون فشرده‌سازی استفاده می‌شود.

زنجیرهٔ حمله به‌این شکل کار می‌کند:

• قربانی یک فایل عکس DNG دارای تله دریافت می‌کند.
• این فایل که مجهز به بارهای بایگانی ZIP و کد بهره‌برداری سفارشی است، آسیب‌پذیری در کتابخانه کدک تصویر سامسونگ را فعال می‌کند.
• این یک حمله «صفر‑کلیک» است: کاربر نیازی به لمس، باز کردن یا اجرای چیزی ندارد. فقط پردازش تصویر کافی است تا دستگاه به خطر بیفتد.

شایان توجه است که سامسونگ نقص دیگری در کتابخانه تصویر، CVE-2025-21043، را در سپتامبر ۲۰۲۵ برطرف کرد، که نشان‌دهندهٔ رشد یک روند است: نقص‌های پردازش تصویر به‌عنوان نقطهٔ ورود محبوب برای جاسوسی و جرایم سایبری تبدیل شده‌اند.

کاربران و کسب‌وکارها چه کاری باید انجام دهند؟

نصیحۀ ما برای محافظت در برابر چنین حمله‌ای ساده است:

• فوراً وصله بزنید. اگر دستگاه سامسونگ خود را از آوریل به‌روزرسانی نکرده‌اید، همین‌حال این کار را انجام دهید. سازمان‌های FCEB تا ۱ دسامبر ۲۰۲۵ فرصت دارند تا مطابق با دستورالعمل عملیاتی CISA عمل کنند.
• در مقابل پیام‌ها و فایل‌های ناخواسته محتاط باشید، به‌ویژه تصاویر دریافت‌شده از طریق برنامه‌های پیام‌رسان.
• اپلیکیشن‌ها را فقط از منابع معتبر دانلود کنید و از نصب فایل‌های جانبی خودداری کنید.
• از راهکار ضدبدافزار به‌روز و زمان واقعی استفاده کنید برای دستگاه‌های خود.

حفره‌های صفر‌روز هدف‌گیری کنندهٔ دستگاه‌های موبایل به‌طور نگران‌کننده‌ای رایج شده‌اند، اما با اعمال وصله فوری، افزایش آگاهی و پیاده‌سازی کنترل‌های امنیتی مستحکم می‌توان خطر را کاهش داد. همان‌طور که LANFDALL نشان می‌دهد، خطرناک‌ترین حملات امروز اغلب ساکن هستند — بدون نیاز به اقدام کاربر و بدون علائم واضح تا زمانی که دیر شود.

مدل‌های دستگاه هدف‌گیری‌شده توسط LANFDALL:

سری Galaxy S23

سری Galaxy S24

Galaxy Z Fold4

Galaxy S22

Galaxy Z Flip4

ما فقط دربارهٔ امنیت گوشی گزارش نمی‌دهیم — آن را فراهم می‌کنیم

خطرهای امنیت سایبری نباید فراتر از سرفصل‌ها گسترش یابند. با دانلود Malwarebytes برای iOS و Malwarebytes برای Android هم‌اکنون، تهدیدها را از دستگاه‌های موبایل خود دور نگه دارید.