Kritik bir güvenlik açığı, Samsung mobil cihaz sahiplerini karmaşık siber saldırı riskine soktu. 10 Kasım 2025’te ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna CVE-2025-21042 olarak takip edilen bir güvenlik açığı ekledi. KEV kataloğu, yaygın olarak kullanıldığı bilinen güvenlik açıklarını listeliyor ve Federal Sivil Yürütme Organı (FCEB) kurumları için yama son tarihlerini belirliyor.
Dolayısıyla, birçok siber güvenlik uzmanı için CISA’nın bu güvenlik açığını listeye eklemesi, hem aciliyete hem de aktif, gerçek dünyadaki istismarın onaylandığına işaret ediyor.
CVE-2025-21042’nin Orta Doğu’daki Galaxy cihazlarına LANDFALL casus yazılımını dağıtmak için sıfır gün uzaktan kod yürütme (RCE) olarak kullanıldığı bildirildi. Ancak bu gerçekleştiğinde, diğer suçlular da benzer saldırıları hızla takip etme eğiliminde oluyor.
Kusurun kendisi, Samsung’un görüntü işleme kütüphanesindeki sınırların dışında bir yazma güvenlik açığıdır. Bu güvenlik açıkları, saldırganların belleğin üzerine amaçlananın ötesinde yazmasına olanak tanır ve bu da genellikle belleğin bozulmasına, yetkisiz kod yürütülmesine ve bu durumda olduğu gibi cihazın ele geçirilmesine yol açar. CVE-2025-21042, uzaktaki saldırganların kullanıcı etkileşimi olmadan rastgele kod çalıştırmasına ve potansiyel olarak kurbanın telefonu üzerinde tam kontrol sahibi olmasına olanak tanır. Tıklamaya gerek yok. Hiçbir uyarı verilmedi.
Samsung bu sorunu Nisan 2025’te yamaladı ancak CISA’nın son uyarısı, istismarların aylardır aktif olduğunu ve bazı durumlarda saldırganların savunucuları geride bıraktığını gösteriyor. Riskler yüksek: veri hırsızlığı, gözetleme ve güvenliği ihlal edilmiş mobil cihazların daha geniş kurumsal saldırılar için dayanak noktası olarak kullanılması.
Sömürü taktik kitabı tehlikeli olduğu kadar zekidir de. Birim 42’nin araştırmasına göre, suçlular (muhtemelen Orta Doğu dışında faaliyet gösteren özel sektör saldırgan aktörleri), WhatsApp aracılığıyla gönderilen hatalı biçimlendirilmiş Dijital Negatif (DNG) görüntü dosyaları aracılığıyla LANDFALL casus yazılımını dağıtmak için güvenlik açığını silah haline getirdi. DNG, Adobe tarafından geliştirilen ve dijital fotoğrafçılar tarafından sıkıştırılmamış sensör verilerini depolamak için kullanılan açık ve kayıpsız bir RAW görüntü formatıdır.
Saldırı zinciri şu şekilde çalışır:
- Kurban bubi tuzaklı bir DNG fotoğraf dosyası alır.
- ZIP arşivi yükleri ve özel yararlanma koduyla donatılmış dosya, Samsung’un görüntü codec kitaplığındaki güvenlik açığını tetikliyor.
- Bu bir “sıfır tıklama” saldırısıdır: kullanıcının herhangi bir şeye dokunması, açması veya yürütmesi gerekmez. Sadece görüntünün işlenmesi cihazın güvenliğini tehlikeye atmak için yeterlidir.
Samsung’un Eylül 2025’te büyüyen bir trend gösteren başka bir görüntü kitaplığı kusuru olan CVE-2025-21043’ü ele aldığını bilmek önemlidir: görüntü işleme kusurları hem casusluk hem de siber suçlar için favori bir giriş noktası haline geliyor.
Kullanıcılar ve işletmeler ne yapmalı?
Bu tür saldırılardan korunmanız için tavsiyemiz basit:
- Hemen yama yapın. Samsung cihazınızı Nisan ayından bu yana güncellemediyseniz bunu yapın. FCEB kuruluşlarının 1 Aralık 2025’e kadar CISA’nın operasyonel direktifine uyması gerekiyor.
- İstenmeyen mesaj ve dosyalara karşı dikkatli olunözellikle mesajlaşma uygulamaları üzerinden alınan resimler.
- Uygulamaları yalnızca güvenilir kaynaklardan indirin ve dosyaları başka yere yüklemekten kaçının.
- Güncel gerçek zamanlı kötü amaçlı yazılımdan koruma çözümünü kullanın cihazlarınız için.
Mobil cihazları hedef alan sıfır günler korkutucu derecede yaygın hale geliyor, ancak acil yamalar, farkındalık ve sağlam güvenlik kontrolleri ile risk azaltılabilir. LANDFALL’un da gösterdiği gibi, günümüzün en tehlikeli saldırıları genellikle en sessiz olanlardır; hiçbir kullanıcı eylemi gerektirmez ve çok geç olana kadar belirgin bir belirti görülmez.
LANDFALL tarafından hedeflenen cihaz modelleri:
Galaxy S23 Serisi
Galaxy S24 Serisi
Galaxy Z Fold4
Galaksi S22
Galaxy Z Flip4
Yalnızca telefon güvenliği hakkında rapor vermiyoruz; bunu sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. iOS için Malwarebytes’i ve Android için Malwarebytes’i bugün indirerek tehditleri mobil cihazlarınızdan uzak tutun.