Nulladik napi sebezhetőség (CVE-2025-21042) a Samsung Android képfeldolgozó könyvtárában
lehetővé tette a támadók számára, hogy beágyazzák a LANDFALL nevű kémprogramot a Samsung készülékekbe
beleértve a Galaxy készülékeket is. Íme néhány meghatározás; a nulladik napi sebezhetőség az, amiről senki sem tud arról, hogy a fejlesztőnek nulla napot kell adnia a hiba bejavítására. A Samsung Android képfeldolgozó könyvtára kezeli a különféle képformátumok dekódolását és feldolgozását, beleértve néhány olyan formátumot is, amelyek a Samsung tulajdonát képezik.
A LANDFALL spyware bizonyos Samsung telefonokat érintett
A helyzet az, hogy a LANDFALL-ot a vadonban használták ki, mielőtt a Samsung tavaly áprilisban befoltozta volna a sebezhetőséget. A kizsákmányolásról és az alkalmazott kémprogramokról azonban a múlt hétig nyilvánosan nem esett szó. A LANDFALL rosszindulatú DNG-képfájlokba volt ágyazva, amelyeket a WhatsApp-on keresztül küldtek. A Palo Alto Network szerint a LANDFALL 2024 közepén működött, vagyis hónapokkal a sérülékenység javítása előtt.
Ami a WhatsApp részvételét illeti a Samsung kizsákmányolásában,ezt a WhatsApp tulajdonosa, Meta tagadtaa Forbes beszámolója szerint. A Meta azt állítja, hogy nem talált semmilyen alapot a történet ezen aspektusának alátámasztására, és azt mondja, hogy nincs bizonyíték az állítás alátámasztására.
A LANDFALL tavaly április óta nem jelent veszélyt, bár a Samsung mindössze két hónappal ezelőtt, szeptemberben egy újabb nulladik napi sebezhetőséget javított ki. Ezt a hibát (CVE-2025-21043) a képfeldolgozó könyvtárban is megtalálták. A tapasz megakadályozza a támadásokat.
A kémprogram mikrofonos felvételt, helymeghatározást és fényképeket használt a megfigyeléshez
Itay Cohen, a Palo Alto Network 42-es osztályának vezető kutatója elmondta, hogy a LANDFALL támadást bizonyos személyek ellen irányították, és nem tömegesen terjesztették. Cohen szerint ezeknek a támadásoknak az indítéka kémkedés volt.

Hangsúlyoznunk kell, hogy a LANDFALL spyware-t a Samsung Galaxy vonal elleni támadásokra tervezték, elsősorban a Közel-Keleten, beleértve Törökországot, Iránt, Irakot és Marokkót is. Kémprogramról lévén szó, nem meglepő, hogy a LANDFALL mikrofonos felvételt, helykövetést, fényképeket, névjegyeket használt. A támadásokhoz rosszul formázott képfájlt használtak, amelyet szándékosan rongáltak meg a fájlt beolvasó szoftver hibája miatt. A sérülékenység kihasználásához nem volt szükség kattintásra.
Amint a képet megkapta a megcélzott Galaxy telefon, az eszköz kompromittálódott. A fotók megnyitása vagy előnézetének megtekintése után a támadók a telefont a következőkre használhatják:
- Rögzítsen mikrofon hangot és telefonhívásokat.
- Valós időben nyomon követheti a GPS-helyzetet.
- Fényképek, üzenetek, névjegyek, hívásnaplók és böngészési előzmények elérése.
- Elrejtőzik a víruskeresők elől, és még az újraindítás után is aktív marad.
A jelentések szerint a LANDFALL által leginkább támadott Samsung telefonok közé tartozik a Galaxy S22 vonal. Galaxy S23 vonal, Galaxy S24 vonal, Z Fold 4 és Z Flip 4 összecsukható. A Galaxy S25 sorozatot nem célozta meg a kémprogram.
Javasolt olvasmány:
10 hónapig a célzott telefonok rendkívül sebezhetőek voltak
10 hónap telt el a kampány 2024 júliusi kezdete és a hiba idén áprilisi befoltozása között, amikor a fent említett Galaxy modellek sebezhetőségük csúcsán voltak. Amikor a Samsung tavaly áprilisban befoltozta a sérülékenységet, a vállalat nem nyilatkozott róla nyilvánosan.
Biztonsági szakértők azt javasolják, hogy az Android 13-15 rendszerű készülékkel rendelkező Samsung Galaxy felhasználók ellenőrizze, hogy telepítették-e a 2025. áprilisi Android Security frissítést vagy újabbat, csak azért, hogy megbizonyosodjanak arról, hogy a kizsákmányolás javítva van a telefonjukon. Az üzenetküldő alkalmazások, például a WhatsApp és a Telegram automatikus médialetöltését le kell tiltani. Engedélyezniük kell az Android Speciális védelmi módját vagy az iOS Lezárási módját is, ha magas kockázatú felhasználónak tartják magukat.















