Samsung heeft een actief aangevallen kwetsbaarheid in de eigen Galaxy-telefoons stilletjes gepatcht, zo stelt Google. Het beveiligingslek werd gebruikt om Samsung-telefoons met spyware te infecteren. De kwetsbaarheid, aangeduid als CVE-2025-21042, bevindt zich in een library voor het verwerken van afbeeldingen. Door het versturen van een speciaal geprepareerde DNG-afbeelding kan een aanvaller via het lek code op kwetsbare telefoons uitvoeren. De afbeeldingen werden zeer vermoedelijk via WhatsApp naar slachtoffers verstuurd.

Vorige maand meldde securitybedrijf Palo Alto Networks dat via de kwetsbaarheid de Landfall-spyware werd geïnstalleerd. Deze spyware is speciaal ontwikkeld voor Samsung Galaxy-telefoons en gebruikt tegen doelwitten in het Midden-Oosten. Voornamelijk in Turkije, Marokko, Iran en Irak, aldus de onderzoekers. Eenmaal actief kan de spyware onder andere de microfoon inschakelen om zo het slachtoffer en diens omgeving af te luisteren, de locatie van het slachtoffer volgen en allerlei bestanden verzamelen, zoals foto's, contacten en gesprekslogs.

Google heeft nu meer informatie over de kwetsbaarheid en gebruikte exploit gegeven. Het techbedrijf meldt dat via de online virusscandienst VirusTotal, die eigendom van Google is, tussen juli 2024 en februari 2025 zes verdachte bestanden werden geupload . Dankzij een tip van Meta startte Google een onderzoek. Dat leidde tot de ontdekking dat de afbeeldingen misbruik maakten van een kwetsbaarheid in de Quram library. Een library die Samsung-telefoons gebruiken voor het verwerken van afbeeldingen.

Uiteindelijk kwam Samsung in april van dit jaar met een beveiligingsupdate. Het bestaan van de kwetsbaarheid werd echter pas in september door Samsung bekendgemaakt. Volgens Google heeft het bedrijf de kwetsbaarheid dan ook stilletjes gepatcht. Het techbedrijf voegt toe dat sommige Samsung-telefoons niet elke maand, maar eens per kwartaal of halfjaar beveiligingsupdates ontvangen. Samsung heeft Google vorige week laten weten dat voor alle ondersteunde telefoons inmiddels een beveiligingsupdate voor CVE-2025-21042 is uitgerold.