Samsung ha rilasciato un aggiornamento di sicurezza urgente per correggere una vulnerabilità zero-day critica che era attivamente sfruttata da malintenzionati per compromettere i dispositivi Galaxy. La falla, identificata come CVE-2025-21043 e con un punteggio CVSS di 8.8, riguarda l’elaborazione delle immagini e permetteva agli attaccanti di eseguire codice arbitrario semplicemente inviando un’immagine malevola attraverso applicazioni di messaggistica come WhatsApp.
Cosa devi fare immediatamente: vai su Impostazioni > Aggiornamento Software sul tuo dispositivo Samsung e installa l’aggiornamento di settembre 2025. Non aspettare: la vulnerabilità era già sfruttata prima del rilascio della patch. Abilita gli aggiornamenti automatici per proteggere il tuo dispositivo in futuro.
La Vulnerabilità e il Suo Impatto
CVE-2025-21043 rappresenta una delle minacce più sofisticate emerse nel panorama della sicurezza mobile nel 2025. La vulnerabilità risiede nella libreria libimagecodec.quram.so, un componente closed-source sviluppato da Quramsoft che gestisce l’analisi e l’elaborazione di vari formati di immagine sui dispositivi Samsung. Questa libreria viene utilizzata da numerose applicazioni, incluse quelle di messaggistica, per visualizzare e processare immagini ricevute.
Il problema tecnico è classificato come “out-of-bounds write”, una condizione in cui il software scrive dati oltre i limiti della memoria allocata. Quando un dispositivo Samsung riceve un’immagine appositamente creata, il parser può essere ingannato per scrivere al di fuori dei confini di memoria previsti. Questa scrittura fuori dai limiti consente a un attaccante di sovrascrivere memoria critica e potenzialmente ottenere privilegi a livello di sistema senza che l’utente debba fare nulla.
La gravità della situazione è amplificata dal fatto che l’elaborazione delle immagini avviene automaticamente. Quando ricevi una foto tramite WhatsApp, Telegram o altre app di messaggistica, il tuo dispositivo la processa automaticamente per visualizzare l’anteprima. Non è necessario aprire l’immagine o cliccare su alcun link: la semplice ricezione del file può essere sufficiente per attivare l’exploit.
La Scoperta e la Risposta di Samsung
La vulnerabilità è stata segnalata privatamente a Samsung il 13 agosto 2025 dai team di sicurezza di Meta e WhatsApp. Questa tempistica è significativa: la scoperta da parte dei team di sicurezza di WhatsApp suggerisce fortemente che la vulnerabilità era sfruttata attivamente contro utenti della piattaforma di messaggistica.
Samsung ha confermato nelle sue comunicazioni ufficiali che “un exploit per questa vulnerabilità esisteva già in circolazione” prima del rilascio della patch. Questa ammissione indica che gli attaccanti avevano settimane, se non mesi, di accesso non rilevato ai dispositivi vulnerabili. L’azienda sudcoreana non ha condiviso dettagli specifici su come la vulnerabilità venisse sfruttata negli attacchi né su chi potesse essere dietro questi sforzi, ma la natura della scoperta fornisce indizi importanti.
L’aggiornamento di sicurezza è stato rilasciato come parte del Security Maintenance Release (SMR) di settembre 2025, che include la correzione dell’implementazione errata che permetteva la condizione di scrittura fuori dai limiti. La patch è disponibile per tutti i dispositivi Samsung che eseguono Android 13, 14, 15 e 16.
Collegamenti con Altri Attacchi Mirati
Il contesto della scoperta rivela un quadro più ampio di operazioni di spionaggio sofisticate. La tempistica della segnalazione e il fatto che lo zero-day fosse in una libreria core per le immagini suggerisce che CVE-2025-21043 potrebbe essere stato sfruttato in attacchi mirati contro utenti WhatsApp, in modo simile a CVE-2025-43300, una vulnerabilità di scrittura fuori dai limiti nel componente ImageIO framework di iOS, iPadOS e macOS.
WhatsApp aveva rivelato due settimane prima che il bug Apple era probabilmente concatenato con una vulnerabilità WhatsApp identificata come CVE-2025-55177 in “un attacco sofisticato contro specifici utenti mirati”. Ricercatori di sicurezza indicano che sia utenti iPhone che Android sono stati presi di mira da spyware commerciale mirato a giornalisti e difensori dei diritti umani.
Questa metodologia di attacco punta a threat actor che concatenano bug attraverso app di messaggistica e sistemi operativi per ottenere esecuzione di codice cross-platform. Rappresenta un’escalation nella tradecraft mobile, dove componenti fondamentali come i codec delle immagini diventano punti di ingresso primari invece di passaggi di supporto.
Il Vettore di Attacco Tecnico
Per comprendere appieno la pericolosità di CVE-2025-21043, è necessario esaminare come funziona il vettore di attacco. La vulnerabilità sfrutta il modo in cui i dispositivi Samsung processano automaticamente le immagini ricevute. Quando un’immagine arriva sul dispositivo, la libreria libimagecodec.quram.so viene invocata per decodificarla e prepararla per la visualizzazione.
Un’immagine malevola appositamente creata contiene dati strutturati in modo tale da causare un overflow del buffer durante il processo di parsing. Questo overflow permette all’attaccante di iniettare ed eseguire codice arbitrario con i privilegi dell’applicazione che sta processando l’immagine. Dato che molte app di messaggistica richiedono permessi estesi per funzionare correttamente, questo può fornire agli attaccanti un accesso significativo al dispositivo.
Il percorso di attacco può manifestarsi attraverso molteplici canali: una chat di gruppo, un allegato email, un feed social o persino uno slot pubblicitario che carica automaticamente immagini. Non sono necessari tap speciali o interazioni dell’utente. La natura “zero-click” dell’exploit lo rende particolarmente insidioso.
Secondo un rapporto del 2020 di Google Project Zero, libimagecodec.quram.so è una libreria proprietaria che implementa il supporto per vari formati di immagine. La natura closed-source della libreria ha probabilmente reso più difficile per i ricercatori di sicurezza indipendenti identificare e segnalare la vulnerabilità prima che venisse sfruttata.
Implicazioni per la Sicurezza dei Dispositivi Mobili
Questo incidente solleva questioni più ampie sulla sicurezza dei dispositivi mobili e sulla catena di fornitura del software. L’uso di librerie di terze parti closed-source, come quella sviluppata da Quramsoft, introduce rischi che possono essere difficili da mitigare. Quando queste librerie gestiscono funzioni critiche come l’elaborazione delle immagini, le vulnerabilità al loro interno possono avere conseguenze devastanti.
La natura automatica dell’elaborazione delle immagini rende questo tipo di vulnerabilità particolarmente pericolosa. A differenza degli attacchi che richiedono che l’utente clicchi su un link o scarichi un file, gli exploit basati sull’elaborazione automatica delle immagini possono essere eseguiti senza alcuna interazione dell’utente. Questo li rende ideali per operazioni di spionaggio mirate, dove la furtività è fondamentale.
Il fatto che la vulnerabilità sia stata scoperta dai team di sicurezza di Meta e WhatsApp piuttosto che attraverso programmi di bug bounty o ricerca di sicurezza indipendente suggerisce che potrebbe essere stata utilizzata per un periodo considerevole prima della scoperta. Gli attaccanti potrebbero aver avuto mesi per perfezionare i loro exploit e raccogliere intelligence da dispositivi compromessi.
La Protezione Samsung Knox
Samsung promuove il suo sistema di sicurezza Knox come una difesa multi-livello contro le minacce informatiche. Knox offre protezione in tempo reale, bloccando costantemente tentativi non autorizzati di accedere o modificare il core del telefono. Quando gli utenti riavviano il loro smartphone Samsung, Secure Boot viene attivato per rilevare qualsiasi software non autorizzato e bloccare tentativi di compromettere il dispositivo attraverso sicurezza multi-livello di grado difensivo.
Tuttavia, il caso di CVE-2025-21043 dimostra che anche sistemi di sicurezza sofisticati come Knox possono essere aggirati da vulnerabilità in componenti di terze parti. Se una vulnerabilità esiste in una libreria che opera con privilegi legittimi, le misure di sicurezza potrebbero non essere sufficienti a prevenire lo sfruttamento.
Questo sottolinea l’importanza degli aggiornamenti di sicurezza regolari e tempestivi. Anche il sistema di sicurezza più robusto può essere solo tanto efficace quanto la patch più recente. Le vulnerabilità zero-day, per definizione, esistono prima che sia disponibile una correzione, rendendo gli utenti vulnerabili fino al rilascio e all’installazione della patch.
Il Contesto Più Ampio degli Attacchi Mobile
L’exploit CVE-2025-21043 si inserisce in una tendenza più ampia di sofisticazione crescente negli attacchi ai dispositivi mobili. Gli attaccanti, in particolare quelli affiliati a operazioni di spionaggio sponsorizzate da stati nazionali o a venditori di spyware commerciale, stanno investendo risorse significative nello sviluppo di exploit mobile avanzati.
Le vulnerabilità nell’elaborazione delle immagini sono particolarmente apprezzate perché offrono un vettore di attacco discreto. Le immagini sono onnipresenti nella comunicazione digitale moderna, rendendo difficile per gli utenti distinguere tra contenuti legittimi e malevoli. Inoltre, l’elaborazione automatica delle immagini significa che gli exploit possono essere eseguiti senza destare sospetti.
Il targeting di giornalisti e difensori dei diritti umani suggerisce che questa particolare campagna di attacco fosse parte di operazioni di sorveglianza mirate piuttosto che di criminalità informatica orientata al profitto. Questo tipo di attacco richiede risorse significative e competenze tecniche avanzate, indicando threat actor ben finanziati e organizzati.
Raccomandazioni per la Sicurezza
Per gli utenti individuali, l’azione più importante è installare immediatamente l’aggiornamento di sicurezza di settembre 2025. Non aspettare che il telefono ti notifichi automaticamente: naviga manualmente su Impostazioni > Aggiornamento Software e controlla la disponibilità degli aggiornamenti. Gli aggiornamenti automatici possono richiedere giorni o settimane, e rimani vulnerabile fino a quando la correzione non viene installata.
Abilita gli aggiornamenti di sicurezza automatici nelle impostazioni del tuo dispositivo Samsung per garantire che le patch future vengano installate il più rapidamente possibile. Questo riduce la finestra di vulnerabilità tra il rilascio di una patch e la sua installazione sul tuo dispositivo.
Per gli utenti aziendali, lavora con il tuo team IT per dare priorità alla distribuzione di questa patch su tutti i dispositivi Samsung nell’organizzazione. La combinazione dello sfruttamento attivo confermato e della natura critica delle funzioni di elaborazione delle immagini rende questo aggiornamento non negoziabile per mantenere la sicurezza del dispositivo.
Considera l’implementazione di politiche di sicurezza più restrittive per le app di messaggistica, specialmente se lavori in settori sensibili o sei a rischio di targeting mirato. Anche se questo non proteggerà direttamente contro vulnerabilità come CVE-2025-21043, può ridurre la superficie di attacco complessiva.
Monitora attentamente i tuoi dispositivi per comportamenti anomali. Anche se gli exploit sofisticati sono progettati per essere furtivi, possono comunque manifestarsi attraverso prestazioni ridotte, consumo anomalo della batteria o attività di rete inaspettata.
Sii particolarmente cauto con le immagini ricevute da fonti sconosciute, anche se la natura automatica di questo particolare exploit significa che la cautela da sola non è sufficiente. Tuttavia, mantenere buone pratiche di sicurezza rimane importante come parte di una strategia di difesa in profondità.
Per le organizzazioni, considera l’implementazione di soluzioni di Mobile Threat Defense (MTD) che possono rilevare e bloccare comportamenti anomali sui dispositivi mobili, anche quando sfruttano vulnerabilità sconosciute. Queste soluzioni forniscono un ulteriore livello di protezione oltre alle misure di sicurezza integrate del sistema operativo.
Fonte: https://cybersecuritynews.com/samsung-galaxy-s25-0-day-vulnerability
