Inhalt
Eine kritische Sicherheitslücke hat kürzlich Samsung-Nutzer mobiler Geräte einem erheblichen Risiko von Cyberangriffen ausgesetzt. Am 10. November 2025 fügte die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) die Schwachstelle, die als CVE-2025-21042 verfolgt wird, ihrem Katalog bekannter ausgenutzter Schwachstellen (KEV) hinzu. Dieser Katalog hebt Schwachstellen hervor, die aktiv ausgenutzt werden, und setzt Patch-Fristen für Bundesbehörden, was die Dringlichkeit für die Cybersicherheitsgemeinschaft signalisiert. Die Schwachstelle wurde Berichten zufolge in einem Zero-Day-Remote-Code-Ausführungsangriff (RCE) verwendet, um die LANDFALL-Spionagesoftware auf Galaxy-Geräten im Nahen Osten zu installieren. Sobald ein Zero-Day-Exploit entdeckt wird, neigen andere Angreifer dazu, nachzuziehen, was das Gesamtrisiko erhöht.\n\nDie Schwachstelle liegt in Samsungs Bildverarbeitungsbibliothek und ist ein Out-of-Bounds-Write-Fehler. Solche Probleme erlauben es Angreifern, Speicher außerhalb der vorgesehenen Grenzen zu überschreiben, was oft zu Speicherbeschädigung, unbefugter Codeausführung und in diesem Fall zur vollständigen Übernahme des Geräts führt. Besonders gefährlich an CVE-2025-21042 ist, dass keine Benutzerinteraktion erforderlich ist – keine Klicks, keine Warnungen. Angreifer können beliebigen Code aus der Ferne ausführen und unbemerkt die Kontrolle über das Telefon des Opfers übernehmen.\n\nSamsung veröffentlichte bereits im April 2025 einen Patch für diese Schwachstelle, aber die jüngste Warnung von CISA zeigt, dass der Exploit seit Monaten aktiv ist und Angreifer in einigen Fällen den Verteidigern voraus sind. Die Einsätze sind hoch: Kompromittierte Geräte können zu Datendiebstahl, Überwachung und als Einstiegspunkte für weiterreichende Angriffe auf Unternehmen genutzt werden. Die Angriffsmethode ist ausgeklügelt und still, was es für Nutzer schwierig macht, den Angriff zu erkennen, bis es zu spät ist.\n\nForschungen von Unit 42 zeigen, dass die Angreifer, wahrscheinlich private offensive Akteure aus dem Nahen Osten, diese Schwachstelle nutzten, um LANDFALL-Spionagesoftware über manipulierte Digital Negative (DNG)-Bilddateien zu verbreiten, die über WhatsApp gesendet wurden. DNG ist ein offenes RAW-Bildformat, das hauptsächlich von Fotografen für verlustfreie Bilddaten verwendet wird. Die bösartigen DNG-Dateien enthielten ZIP-Archiv-Payloads und Exploit-Code, der den Fehler in Samsungs Bildcodec-Bibliothek auslöste. Bemerkenswert ist, dass es sich um einen Zero-Click-Angriff handelt – das Opfer muss die Datei nicht öffnen oder interagieren. Allein die Verarbeitung des Bildes reicht aus, um das Gerät zu kompromittieren.\n\nZusätzlich zu dieser Schwachstelle patchte Samsung im September 2025 auch einen verwandten Fehler in der Bildverarbeitungsbibliothek, CVE-2025-21043, was auf einen wachsenden Trend hinweist, dass Bildverarbeitungsfehler bevorzugte Angriffsvektoren für Spionage und Cyberkriminalität werden. Nutzer und Unternehmen müssen schnell handeln: Wenn Sie Ihr Samsung-Gerät seit April nicht aktualisiert haben, tun Sie dies jetzt. Bundesbehörden müssen bis zum 1. Dezember 2025 konform sein. Neben dem Patchen sollten Nutzer bei unerwünschten Nachrichten und Bilddateien, insbesondere über Messaging-Apps, vorsichtig sein, keine Apps aus unsicheren Quellen herunterladen und Anti-Malware-Lösungen aktuell halten.\n\nBetroffene Geräte sind unter anderem die Galaxy S23- und S24-Serien, Galaxy Z Fold4, Galaxy S22 und Galaxy Z Flip4. Der Anstieg von Zero-Day-Angriffen auf mobile Geräte zeigt, wie wichtig es ist, wachsam zu bleiben und Updates rechtzeitig zu installieren. Der LANDFALL-Spionagesoftware-Angriff verdeutlicht, wie moderne Bedrohungen still und ohne Benutzeraktion operieren und keine offensichtlichen Anzeichen hinterlassen, bis der Schaden entstanden ist. Der Schutz Ihres Geräts bedeutet, auf dem neuesten Stand zu bleiben, vorsichtig zu sein und zuverlässige Sicherheitssoftware zu verwenden.
