Akıllı telefon güvenliği yeniden gündemde: Samsung Electronics’un Galaxy serisi cihazlarında bulunan ve “CVE-2025-21042” koduyla izlenen bir sıfır-gün (zero-day) güvenlik açığı, aktif olarak bir casus yazılım kampanyasında kullanıldı. Bu kampanya, LANDFALL adıyla anılıyor ve mobil cihaz istihbarat operasyonlarının yeni boyutunu temsil ediyor.

Açığın Teknik Detayları

Açığın bulunduğu bileşen, Samsung cihazlarındaki görüntü işleme kütüphanesi olan libimagecodec.quram.so. Bu kütüphane, cihazın RAW/DNG gibi yüksek çözünürlüklü görüntülerini işleyen altyapıda yer alıyor. NVD’ye göre açık, Out-of-Bounds Write (CWE-787) sınıfında ve “uzaktan kod çalıştırma” (RCE) riski taşıyor.

Güvenlik araştırmaları, bu açığın Ağustos 2024 itibarıyla kötü niyetli aktivitelerde kullanıldığını gösteriyor. Palo Alto Networks’un Threat Research birimi Unit 42, LANDFALL kampanyasının bu açık üzerinden yürütüldüğünü ortaya koydu. Şüpheli unsur: Saldırının, kullanıcı etkileşimi gerektirmeyen “zero-click” formatta olduğu; örneğin WhatsApp üzerinden gönderilen bozulmuş DNG dosyalarına cihazın otomatik olarak tepki verdiği ve arka planda kötü amaçlı kodların işlendiği rapor ediliyor.

Hedef Alınan Cihazlar & Bölgesel Analiz

Raporlara göre, cihaz havuzu içinde özellikle şunlar yer alıyor: Galaxy S22, S23, S24, Z Fold4, Z Flip4 gibi modeller. Hedef bölgeler arasında Orta Doğu ülkeleri; özellikle Irak, İran, Türkiye ve Fas dikkat çekiyor. Bu durum, sadece bireysel kullanıcıları değil kurumları da doğrudan tehdit altında bırakıyor.

Sızma Zinciri ve Kampanya Özellikleri

LANDFALL operasyonunun sızma zinciri şu şekilde işliyor:

• Hedef telefona WhatsApp üzerinden veya benzeri bir mesajlaşma uygulaması aracılığıyla, normal bir görsel gibi görünen ancak içinde gömülü ZIP arşivi olan bir DNG dosyası gönderiliyor.
• Bu dosya cihaz tarafından işlenirken libimagecodec.quram.so bileşeni üzerinden exploit tetikleniyor ve saldırganlar cihazda kalıcı kod çalıştırma hakkı elde ediyor.
• Kurulum sonrası cihazda mikrofon kayıtları, çağrı/dinleme verileri, konum bilgileri, mesajlar ve medya dosyaları ele geçirilebiliyor; ayrıca kalıcılık için SELinux politikaları manipüle ediliyor.

Paket Yamanın Durumu ve Süreç

Samsung, bu açığı **Nisan 2025** tarihinde yayınlanan SMR (Security Maintenance Release) yazılım güncellemesiyle kapattığını duyurdu. Ancak saldırı kampanyalarının açığın yayınlandığı tarihten *önce* commence edildiği belirtiliyor. Ayrıca, Cybersecurity and Infrastructure Security Agency (CISA) bu açığı **Known Exploited Vulnerabilities (KEV)** listesine 10 Kasım 2025’te ekledi.

Kullanıcılara ve Kurumlara Tavsiyeler

Her kullanıcı şu adımları derhal uygulamalı:

• Ayarlara girip “Yazılım güncellemesi” bölümünden cihazın **SMR-Nisan 2025** ya da daha yeni bir sürümle çalıştığından emin olun.
• WhatsApp, Telegram gibi uygulamalardan gelen bilinmeyen fotoğraf-dosya, DNG raw görüntü dosyaları veya şüpheli mesajları açmadan silin.
• Kurumsal cihazlarda MDM (Mobile Device Management) politikaları ile güncelleme zorunluluğu getirin ve cihazların anlık güvenlik durumunu izleyin.
• Pil ömründe ani düşüşler, hızlı veri kullanımı artışı gibi olağandışı davranışlarırapor edin; bunlar casus yazılım göstergesi olabilir.

MakTechHub Yorumu

Mobil cihazların artık yalnızca iletişim değil, aynı zamanda **kimlik, finansal erişim ve kurumsal çevre** olduğunu unutmamak gerek. CVE-2025-21042 gibi bir açık, sıradan bir uygulama güvenlik zafiyeti değil; casus yazılım seviyesinde bir tehdit olarak tanımlanıyor. Kurumlar ve bireysel kullanıcılar için “şimdi güncelleme” demek artık bir tercih değil — zorunluluk. Bu tür saldırılar hızla genişliyor ve zaman kazandırmıyor.

MakTechHub – Yapay zekânın medyayı, güvenliği ve gerçeği yeniden tanımladığı bir dönemi takip etmeye devam ediyoruz.