شناسایی آسیبپذیری روز صفر در دستگاههای سامسونگ
اخبار
کشف آسیبپذیری روز صفر در دستگاههای سامسونگ و توزیع بدافزار LANDFALL از طریق تصاویر DNG
به تازگی یک کمپین جاسوسی سایبری بسیار پیشرفته با نام LANDFALL شناسایی شده است که از یک آسیبپذیری روز صفر (Zero-Day) در برخی دستگاههای سامسونگ Galaxy سوءاستفاده میکند. این حمله با طراحی دقیق و هدفگذاری دقیق انجام شده و میتواند تبعات امنیتی جدی برای کاربران سازمانی و فردی داشته باشد.
آنچه در ادامه میخوانید:
توصیههای امنیتی از سوی Cyberno
شرح فنی آسیبپذیری
- محققان Palo Alto Networks Unit 42 آسیبپذیری بحرانی، با شناسه CVE-2025-21042 را در کتابخانه پردازش تصاویر سامسونگ (libimagecodec.quram.so) کشف کردهاند.
- این نقص از نوع out-of-bounds write است که مهاجم اجازه میدهد حافظه خارج از محدوده پیشبینیشده را تغییر دهد، و از این طریق اجرای کد از راه دور (Remote Code Execution) را بدون تعامل کاربر ممکن میسازد.
- عنصر حمله، فایل تصویری DNG (Digital Negative) بسیار خاصی است. این فایل به گونهای دستکاری شده که یک آرشیو ZIP مخفی در انتهای آن وجود دارد، و وقتی که دستگاه سامسونگ آن را پردازش میکند، کد مخرب استخراج و اجرا میشود.
- بهطرز خطرناکی، این حمله «Zero-Click» است، یعنی کاربر نیازی به کلیک، باز کردن یا تأیید چیزی ندارد فقط مشاهده یا پیشنمایش تصویر میتواند موجبات اجرای بدافزار را فراهم کند.
اهداف و مدلهای تحت تأثیر
مدلهایی که به گزارش محققان هدف حمله بودهاند شامل Galaxy S22 ،S23 ،S24 و همچنین سریهای تاشو مانند Z Fold و Z Flip هستند. حمله عمدتاً در منطقه خاورمیانه گزارش شده است، از جمله کشورهایی مانند ایران، ترکیه، عراق و مراکش. شیوه حمله، به نظر میرسد بسیار هدفمند بوده و برای جاسوسی پیشرفته طراحی شده است، نه فقط حمله سادهی تودهای.
واکنش سامسونگ و وضعیت فعلی
سامسونگ در آوریل ۲۰۲۵ وصله امنیتی (پچ) ویژه برای رفع CVE-2025-21042 منتشر کرده است. با این وجود، گزارشها نشان میدهد بعضی دستگاهها همچنان در معرض خطر قرار دارند، زیرا بهروزرسانی امنیتی نصب نشدهاند. همچنین، آژانس امنیت سایبری ایالات متحده (CISA) این آسیبپذیری را در فهرست Known Exploited Vulnerabilities (KEV) قرار داده است که نشاندهنده سوءاستفاده فعال در جهان واقعی است.
این حمله نه تنها تهدیدی برای کاربران عادی است، بلکه برای سازمانهایی که از دستگاههای سامسونگ در محیطهای حساس استفاده میکنند نیز بسیار خطرناک است:
۱. جاسوسی هدفمند: هدفگیری دقیق مدلهای پرچمدار و استفاده از بدافزار تجاریساز (commercial-grade) نشاندهنده یک عملیات سایبری تخصصی است.
۲. اهمیت مدیریت وصلهها (Patch Management): دستگاههای بدون بهروزرسانی امنیتی در برابر چنین حملاتی آسیبپذیر باقی میمانند.
۳. بازنگری در سیاستهای امنیت موبایل: سازمانها باید ارزیابی و سختافزار و نرمافزار موبایل را در سیاستهای مدیرت ریسک خود لحاظ کنند.
۴. پایش رفتاری (Behavioral Monitoring): نظارت بر الگوهای مصرف داده، وضعیت باتری، استفاده میکروفون و اتصالات شبکه میتواند نشانههای نفوذ را نشان دهد.
۵. آموزش کارمندان: تاکید بر امنیت پیامرسانی، هشدار نسبت به فایلهای رسانهای (تصاویر) و اضطراری بودن بروزرسانی امنیتی برای کارمندان.
توصیههای امنیتی از سوی Cyberno
در مقام ارائهدهنده راهکارهای امنیتی، ما به مشتریان و کاربران توصیه میکنیم:
- فوراً بهروزرسانی امنیتی آوریل ۲۰۲۵ سامسونگ را بر روی دستگاههای Galaxy نصب کنید.
- در سازمانها، از ابزارهای مدیریت دستگاه موبایل (MDM / UEM) برای کنترل وصلهها و وضعیت امنیت موبایل استفاده کنید.
- سیستمهای نظارت و تشخیص تهدید (EDR / MTD) را برای گوشیها پیادهسازی کنید تا فعالیت مشکوک شناسایی شود.
- سیاستگذاری امنیتی Trust صفر (Zero-Trust) را گسترش دهید، بهویژه برای دستگاههای قابل حمل.
- دورهای برای پرسنل امنیتی و بخشهای فناوری اطلاعات سازمانی برگزار کنید تا تهدیدات پیشرفته موبایل را بهروز نگه دارند.
هک LANDFALL یک هشدار جدی است برای همه کاربران سامسونگ و سازمانهایی که از دستگاههای Galaxy استفاده میکنند. این حمله نشان میدهد که نقطه ضعفهایی در سیستمهای بهظاهر ساده مانند «پردازش تصاویر» میتواند به بهانهای برای تهدیدات فزایندهی جاسوسی تبدیل شود. Cyberno آماده است تا در همه بخشهای ارزیابی امنیت موبایل، نظارت تهدیدات موبایل و واکنش به حادثه (Incident Response) همکاری کند تا از بروز چنین حملاتی جلوگیری شود یا تأثیر آنها به حداقل برسد.
