Una grave vulnerabilità zero-day, registrata come CVE-2025-21043, ha minacciato la sicurezza dei dispositivi Samsung Android nelle ultime settimane. Un aggiornamento di sicurezza urgente, rilasciato a settembre 2025, riguarda utenti con Android 13, 14, 15 e 16 ed è fondamentale installarlo immediatamente. La falla consentiva a criminali informatici di eseguire codice da remoto sui telefoni vulnerabili tramite immagini manipolate. Consigli chiave: aggiorna ora il dispositivo, evita di aprire file sospetti, verifica regolarmente gli aggiornamenti di sicurezza, attiva l’autenticazione a due fattori e monitora il comportamento del telefono.
Samsung e la scoperta della vulnerabilità zero-day
A settembre 2025, Samsung ha pubblicato un importante aggiornamento di sicurezza per correggere una vulnerabilità classificata come critica (CVSS 8.8), identificata come CVE-2025-21043. Questa falla, descritta come out-of-bounds write, era presente nella libreria proprietaria libimagecodec.quram.so, sviluppata da Quramsoft. La libreria viene usata per il parsing di diversi formati di immagini: un bug nella gestione della memoria consentiva a un aggressore di inviare immagini malevole, portando all’esecuzione remota di codice malintenzionato sul dispositivo della vittima.
La vulnerabilità è stata scoperta e segnalata agli sviluppatori Samsung il 13 agosto 2025 grazie alla collaborazione tra il team sicurezza di Meta (proprietaria di WhatsApp) e quello di WhatsApp stesso. Il problema era già sfruttato attivamente (“in the wild”): questo significa che attacchi reali erano in corso prima del rilascio della patch.
Perché questa vulnerabilità era così pericolosa?
Un bug di out-of-bounds write consente a un aggressore di scrivere dati al di fuori della porzione di memoria riservata a un programma. Questo mette a rischio l’integrità di dati e del sistema operativo, permettendo agli hacker di eseguire programmi malevoli, modificare dati o assumere il controllo completo del dispositivo, sfruttando anche catene di attacco con altri bug.
Particolarmente preoccupante: questo tipo di exploit richiede zero interazione utente, quindi il semplice ricevimento di un file immagine via app come WhatsApp poteva essere sufficiente a compromettere il telefono, senza nemmeno aprirlo o cliccare su link sospetti.
Dispositivi coinvolti e impatto reale
Tutti i dispositivi Samsung con Android 13, 14, 15 e 16 sono potenzialmente vulnerabili. Samsung non ha pubblicato dettagli su quali modelli siano stati presi di mira né sulla provenienza degli attacchi, ma la distribuzione della patch riguarda l’intera linea Galaxy e dispositivi prodotti negli ultimi tre anni.
Meta e WhatsApp hanno cooperato con Samsung per pubblicare le patch dopo aver intercettato tentativi di exploit diretti ai loro utenti, principalmente attraverso l’invio di immagini modificate via messaggistica. Simili exploit zero-click erano già stati identificati in attacchi spyware mirati anche su iOS e macOS, portando aziende come Apple a rilasciare patch d’emergenza estive simili.
Cosa si rischia e come si sono svolti gli attacchi
Gli attacchi mirati con questa vulnerabilità sono tipici di gruppi sofisticati, spesso sponsorizzati da stati. Amnesty International e altri ricercatori hanno individuato campagne di sorveglianza digitale, in cui veniva recapitato codice malevolo sfruttando il bug, senza necessità di azioni dell’utente. WhatsApp, alla fine di agosto, ha emanato notifiche di allerta a potenziali vittime di queste campagne, raccomandando massima prudenza e aggiornamento immediato.
La stessa modalità di attacco – nota come “zero-click” – può essere sfruttata anche da altre app che impiegano la libreria vulnerabile per la gestione delle immagini.
L’aggiornamento e la risposta delle aziende
Samsung ha rilasciato la patch come parte del Security Maintenance Release di settembre 2025 (SMR Sep-2025 Release 1). L’aggiornamento sistema, disponibile via OTA (over-the-air), corregge la falla in libimagecodec.quram.so e altre vulnerabilità critiche individuate negli stessi giorni, incluse alcune segnalate da Google nel suo pacchetto mensile di sicurezza per Android.
Meta, tramite WhatsApp, ha dichiarato di aver condiviso con Samsung e altri partner le proprie scoperte per favorire una risposta rapida e coordinata, visto che attacchi simili avevano già colpito dispositivi Apple attraverso combinazioni di bug zero-day nell’ecosistema iOS.
Come proteggersi: le azioni da intraprendere subito
- Aggiorna immediatamente il dispositivo Samsung all’ultima versione software disponibile. L’aggiornamento contiene la correzione definitiva alla vulnerabilità.
- Non aprire allegati e file multimediali sospetti ricevuti da fonti sconosciute, anche su servizi di messaggistica affidabili.
- Abilita l’autenticazione a due fattori e una schermata di blocco sicura.
- Controlla periodicamente la presenza di nuovi aggiornamenti di sicurezza.
- Monitora eventuali comportamenti anomali: rallentamenti improvvisi, batteria che si scarica rapidamente, sospette notifiche di WhatsApp o altre anomalie possono essere un segnale d’allarme.
Analisi tecnica della vulnerabilità
La libreria libimagecodec.quram.so è un componente chiuso, usato per l’analisi e visualizzazione di immagini traformate in diversi formati, particolare in ambienti Android ottimizzati da Samsung. Il bug riscontrato era una gestione non sicura dei buffer di memoria: un’immagine appositamente preparata poteva indurre scritture al di fuori della memoria assegnata alla libreria, consentendo di inserire ed eseguire codice dannoso.
Questa tecnica di attacco si affianca ad altre vulnerabilità zero-day scoperte nel mondo Android nello stesso periodo (CVE-2025-38532 e CVE-2025-48543), anche se quelle non riguardano direttamente Samsung ma l’intero ecosistema Android.
Casi precedenti, rischi futuri e importanza della sicurezza software
Negli ultimi anni, attacchi zero-day via immagini sono diventati sempre più frequenti, poiché richiedono minime interazioni e possono propagarsi rapidamente su vasta scala, sfruttando bug nelle librerie multimediali spesso utilizzate trasversalmente da molte app. Nel caso specifico di Samsung, la chiusura del codice della libreria ha rallentato la scoperta indipendente, ma la collaborazione tra Meta, Samsung e le community di sicurezza ha permesso una risposta tempestiva.
Va ricordato sia agli utenti privati sia agli amministratori aziendali che la mancata applicazione degli aggiornamenti mette a forte rischio l’integrità dei dati, la privacy degli utenti e la sicurezza delle organizzazioni, in un contesto di minacce digitali sempre più aggressive e sofisticate.
Consigli/azioni approfondite:
- Installa sempre le patch di sicurezza appena disponibili, abilitando gli aggiornamenti automatici dove possibile.
- Effettua controlli periodici sull’integrità dello smartphone con app di sicurezza affidabili.
- Valuta il reset alle impostazioni di fabbrica in caso di sospetta compromissione.
- Limita, dove possibile, l’installazione di app di terze parti non verificate e riduci il numero di applicazioni con accesso ai file multimediali.
- Segui fonti ufficiali (Samsung, produttori di software, enti di sicurezza) per restare aggiornato su nuove minacce e bug.
- Se gestisci dispositivi aziendali, programma aggiornamenti centralizzati e limita i permessi degli utenti per ridurre il rischio di exploit.
- Attenzione alle catene di attacco: spesso exploit zero-day vengono combinati per compromettere dispositivi anche protetti da altre misure di sicurezza.
Adottare queste pratiche è sempre più fondamentale in un mondo in cui la sicurezza dei dispositivi mobili rappresenta la prima linea di difesa contro la criminalità informatica e le campagne di spionaggio digitale.
Fonte: https://thehackernews.com/2025/09/samsung-fixes-critical-zero-day-cve.htm
