Samsung risolve una vulnerabilità critica RCE segnalata da WhatsApp e sfruttata in attacchi zero-day

Samsung ha recentemente rilasciato una patch per una grave vulnerabilità che porta all’esecuzione di codice remoto (RCE, remote code execution) e che era già sfruttata in attacchi zero-day mirati contro dispositivi Android. La falla, identificata come CVE-2025-21043, colpisce tutti i dispositivi Samsung con Android 13 o versioni successive ed è stata segnalata dai team di sicurezza di Meta e WhatsApp il 13 agosto 2025.

Secondo l’avviso pubblicato da Samsung, la vulnerabilità risiedeva nella libreria proprietaria libimagecodec.quram.so, sviluppata da Quramsoft e utilizzata per il supporto a diversi formati di immagini. La debolezza consiste in un out-of-bounds write, che permette a un attaccante remoto di eseguire codice arbitrario sul dispositivo vulnerabile.

Cos’è possibile fare con una vulnerabilità come quella risolta da Samsung

Una vulnerabilità RCE come quella risolta in libimagecodec.quram.so consente a un attaccante di eseguire codice arbitrario a distanza sul dispositivo senza il consenso dell’utente.

In pratica, sfruttando un’immagine appositamente creata, un malintenzionato può ottenere il pieno controllo del dispositivo vulnerabile, con la possibilità di installare malware o spyware per il furto di dati sensibili, credenziali, conversazioni e informazioni finanziarie. Diventa possibile anche accedere e manipolare file locali, comprese foto, documenti e altri contenuti privati.

L’exploit congegnato nel caso dei dispositivi Samsung, adesso reso inutilizzabile previa installazione della patch correttiva, poteva essere combinato con con altre vulnerabilità per aumentare il livello di compromissione e aggirare meccanismi di sicurezza come sandboxing e restrizioni di sistema.

Non è chiaro se gli attacchi abbiano preso di mira esclusivamente gli utenti WhatsApp su dispositivi Samsung. Tuttavia, altre app di messaggistica istantanea che utilizzano la stessa libreria vulnerabile potrebbero teoricamente essere bersaglio di exploit simili. Solo ed esclusivamente sui telefoni non aggiornati.

Collegamenti con altri attacchi zero-click su WhatsApp e Apple

A fine agosto 2025, WhatsApp ha risolto anche un’altra vulnerabilità zero-click (CVE-2025-55177) nei client iOS e macOS, sfruttata in combinazione con uno zero-day di Apple (CVE-2025-43300) in attacchi considerati “estremamente sofisticati”.

Donncha Ó Cearbhaill, a capo del Security Lab di Amnesty International, ha sottolineato che WhatsApp ha avvisato alcuni utenti di essere stati bersaglio di una campagna di spyware avanzata. Le indicazioni ufficiali suggerivano di mantenere aggiornati dispositivi e applicazioni e, se necessario, ripristinare il dispositivo alle impostazioni di fabbrica.

La falla CVE-2025-21043 che ha per protagonista i dispositivi Samsung, si inserisce quindi in un contesto già critico. Aziende specializzate nello sviluppo di soluzioni utili ad aggredire smartphone di soggetti a elevato profilo sono costantemente alla ricerca di nuove vulnerabilità da sfruttare, spesso puntando su librerie proprietarie poco documentate o componenti di sistema poco aggiornati.

Questi attori, noti come vendor di spyware avanzato, mirano a ottenere accesso remoto ai dispositivi per condurre operazioni di sorveglianza, raccolta di informazioni sensibili e monitoraggio delle comunicazioni, aggirando i tradizionali sistemi di difesa come antivirus, sandboxing e controlli delle app. La combinazione di exploit zero-day e tecniche di attacco mirate rende quindi essenziale per le aziende e gli utenti mantenere una strategia di aggiornamento tempestiva e una gestione rigorosa della sicurezza dei dispositivi mobili.