كشفت وحدة Unit 42 التابعة لشركة Palo Alto Networks الشهر الماضي عن حملة تجسس جديدة تحمل اسم LANDFALL، استهدفت أجهزة Samsung Galaxy عبر ثغرة صفرية خطيرة تم تسجيلها تحت الرمز CVE-2025-21042. الثغرة التي جرى إصلاحها لاحقاً سمحت للمهاجمين بتنفيذ هجمات دقيقة في منطقة الشرق الأوسط، مستغلين مكتبة معالجة الصور Quram الخاصة بأجهزة سامسونغ.
دور ملفات الصور المشبوهة في الهجوم
أفاد فريق Google Project Zero أنه رصد ستة ملفات صور مشبوهة تم رفعها إلى منصة VirusTotal بين يوليو 2024 وفبراير 2025. يُعتقد أن هذه الصور وصلت إلى الضحايا عبر تطبيق WhatsApp، وكانت بصيغة DNG المصممة خصيصاً لاستهداف مكتبة Quram.
التحقيقات أوضحت أن هذه الصور جرى هندستها لتفعيل الاستغلال داخل عملية com.samsung.ipservice، وهي خدمة نظامية خاصة بسامسونغ مسؤولة عن تقديم ميزات “ذكية” لتطبيقات أخرى. هذه الخدمة تقوم بشكل دوري بمسح ومعالجة الصور والفيديوهات المخزنة في MediaStore، ما يعني أن أي صورة يتم تنزيلها عبر واتساب يمكن أن تصل إلى سطح الهجوم مباشرة.
آلية التنفيذ عبر واتساب وMediaStore
بما أن واتساب لا يقوم بتنزيل الصور تلقائياً من جهات غير موثوقة، يُرجح أن المهاجمين استخدموا استغلالاً بنقرة واحدة (1-click exploit) لإجبار التطبيق على تنزيل الصورة وإضافتها إلى MediaStore. بمجرد حدوث ذلك، يتم تفعيل الثغرة التي تؤدي إلى تنفيذ عملية out-of-bounds write، وهي خطوة أولية تسمح للمهاجمين بالتحكم في الذاكرة وتنفيذ تعليمات برمجية عن بُعد.
خطورة الاستغلال عبر تنسيقات الصور
أوضح الباحث Benoît Sevens من Google Project Zero أن هذه الحالة تُظهر كيف يمكن لبعض تنسيقات الصور أن توفر “أدوات قوية” لتحويل خطأ واحد في الذاكرة إلى تجاوزات متقدمة مثل ASLR bypass وتنفيذ التعليمات البرمجية عن بُعد دون أي تفاعل إضافي من المستخدم.
من خلال التلاعب بحدود pixel buffer باستخدام الثغرة، يمكن للمهاجمين استغلال ما يُعرف بـ “الآلة الغريبة” (Weird Machine) التي يوفرها معيار DNG وتنفيذه في مكتبة Quram، مما يفتح الباب أمام هجمات متقدمة يصعب اكتشافها.
