Rok na celowniku. Oprogramowanie „Landfall” przez rok szpiegowało telefony Samsunga

To brzmi jak scenariusz filmu szpiegowskiego, ale wydarzyło się naprawdę. Analitycy z Unit 42, specjalnej jednostki ds. cyberbezpieczeństwa w Palo Alto Networks, ujawnili istnienie wysoce zaawansowanego oprogramowania szpiegowskiego o nazwie „Landfall”.

Atak był wymierzony w smartfony Samsung Galaxy i był aktywny przez prawie rok, zanim luka została załatana. Oprogramowanie pozwalało na kradzież praktycznie wszystkich danych z telefonu, a także na zdalne aktywowanie kamery i mikrofonu w celu szpiegowania użytkownika.

Atak typu zero-click, czyli broń w obrazku

Najbardziej niepokojący w ataku „Landfall” jest jego mechanizm. Był to atak typu zero-click, co oznacza, że do infekcji nie była wymagana absolutnie żadna interakcja ze strony użytkownika – nie trzeba było klikać w żaden link ani niczego instalować.

Jak to działało?

• Dostawa: atakujący przesyłali ofierze (prawdopodobnie przez komunikator typu WhatsApp) specjalnie spreparowany plik graficzny.
• Przynęta: „bronią” nie był zwykły JPG, lecz zmodyfikowany plik DNG – jest to format typu „raw” (surowy obraz) bazujący na formacie TIFF.
• Pułapka: wewnątrz tego pliku DNG hakerzy osadzili ukryte archiwum ZIP zawierające złośliwy kod.
• Luka: problem leżał w bibliotece przetwarzania obrazu w oprogramowaniu Samsunga.

Gdy telefon próbował przetworzyć ten plik (np. by wyświetlić jego miniaturkę w galerii lub komunikatorze), system operacyjny rozpakowywał ukryty plik ZIP i uruchamiał złośliwe oprogramowanie szpiegowskie.

Po zainfekowaniu, „Landfall” modyfikował polityki SELinux (mechanizm bezpieczeństwa w Androidzie), aby zakopać się głęboko w systemie, uzyskać szerokie uprawnienia i uniknąć wykrycia.

Kto był celem?

Analitycy z Unit 42 uspokajają, że nie był to atak masowy. Wszystko wskazuje na to, że „Landfall” był używany do precyzyjnie wymierzonych działań szpiegowskich, głównie na Bliskim Wschodzie (wskazano na Irak, Iran, Turcję i Maroko).

W kodzie złośliwego oprogramowania znaleziono bezpośrednie odniesienia do konkretnych modeli Samsunga, w tym Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 oraz Galaxy Z Fold 4. Chociaż nie zidentyfikowano autorów ataku, jego złożoność i metody działania przypominają narzędzia tworzone przez komercyjne firmy zajmujące się cyberwywiadem, takie jak osławiona NSO Group (twórcy Pegasusa).

Sprawdź, czy jesteś bezpieczny

Luka (zarejestrowana jako CVE-2025-21042) była obecna w oprogramowaniu Samsunga opartym na Androidzie od 13 do 15. Producent wydał krytyczną poprawkę bezpieczeństwa w kwietniu 2025 roku.

Analitycy z Unit 42 wstrzymywali się z publikacją szczegółów ataku do teraz, aby dać użytkownikom czas na aktualizację. Teraz, gdy metoda jest publiczna, kluczowe jest, aby każdy posiadacz telefonu Samsung upewnił się, że ma zainstalowane wszystkie aktualizacje systemu, a w szczególności łatkę bezpieczeństwa z kwietnia 2025 lub nowszą.

#Android #CVE202521042 #DNG #GalaxyS23 #GalaxyS24_ #Landfall #lukaBezpieczeństwa #news #oprogramowanieSzpiegowskie #Samsung #spyware #Unit42 #zeroClick

Pilna aktualizacja dla iPhone’ów. Apple i polskie wojsko ostrzegają przed groźną luką w iOS

Apple udostępniła krytyczną aktualizację bezpieczeństwa do wersji iOS 18.6.2. Zarówno producent, jak i polskie Wojska Obrony Cyberprzestrzeni, wzywają do jej natychmiastowej instalacji. Powodem jest groźna luka w oprogramowaniu, która jest już aktywnie wykorzystywana przez hakerów w cyberatakach.

Komunikat o zagrożeniu został opublikowany m.in. na oficjalnych kanałach Wojsk Obrony Cyberprzestrzeni. Eksperci wojskowi podkreślają, że wykryta luka jest już wykorzystywana w atakach, a kilkuminutowa aktualizacja „może ochronić dane i prywatność” użytkowników. To rzadka sytuacja, w której krajowa jednostka ds. cyberbezpieczeństwa wydaje tak bezpośrednie zalecenie dotyczące oprogramowania konsumenckiego.

🚨 PILNE⁰W systemie iOS wykryto poważną lukę bezpieczeństwa, która jest już aktywnie wykorzystywana w cyberatakach.

📲 Apple udostępniło aktualizację iOS 18.6.2 – warto zainstalować ją jak najszybciej. To tylko kilka minut, które mogą ochronić dane i prywatność.#CyberSecurity… pic.twitter.com/NiEck7GfNX

— Karol Molenda (@MolendaKarol) August 23, 2025

Samo Apple potwierdziło powagę sytuacji, informując w nocie bezpieczeństwa, że jest „świadome raportów mówiących o wykorzystaniu tej luki w atakach na konkretne osoby”. Taka deklaracja oznacza, że mamy do czynienia z podatnością typu zero-day – czyli taką, o której cyberprzestępcy dowiedzieli się przed producentem i zdążyli ją wykorzystać, zanim powstała oficjalna poprawka. Z ujawnionych informacji wynika, że luka (CVE-2025-43300) tkwi w systemowym frameworku ImageIO i może zostać aktywowana przez przetworzenie złośliwie spreparowanego pliku graficznego.

Ani Apple, ani wojsko nie precyzują, kto jest celem ataków. Jednak ze względu na charakter luki, zalecenie aktualizacji dotyczy wszystkich użytkowników. Narażone są modele iPhone XS i nowsze.

Aby zainstalować aktualizację, należy wejść w Ustawienia > Ogólne > Uaktualnienia i wybrać opcję instalacji iOS 18.6.2. Jeśli włączone są aktualizacje automatyczne, urządzenie powinno samo pobrać i zainstalować łatkę. Ze względu na powagę zagrożenia, nie warto jednak z tym zwlekać.

#aktualizacja #Apple #Bezpieczeństwo #cyberbezpieczeństwo #hakerzy #iOS #iPhone #lukaBezpieczeństwa #news #WojskaObronyCyberprzestrzeni #zeroDay

Exploit w sieci Find My od Apple pozwala hakerom śledzić dowolne urządzenie Bluetooth

Naukowcy z George Mason University odkryli poważną lukę w zabezpieczeniach sieci Find My od Apple.

Odkryta luka w zabezpieczeniach infrastruktury Find My firmy Apple umożliwia hakerom przekształcenie praktycznie każdego urządzenia z Bluetooth – jak telefon czy laptop – w nieświadomy lokalizator, działający podobnie do AirTaga. Exploit, nazwany „nRootTag”, pozwala na zdalne śledzenie lokalizacji urządzeń bez wiedzy ich właścicieli. Co gorsza wykorzystanie tej podatności nie wymaga ze strony atakującego uprawnień administratora, co czyni lukę szczególnie niebezpieczną.

Sieć Find My, wykorzystywana przez Apple do lokalizowania zgubionych urządzeń i akcesoriów, takich jak AirTag, opiera się na wysyłaniu sygnałów Bluetooth do pobliskich urządzeń Apple, które następnie anonimowo przekazują dane o lokalizacji przez serwery firmy.

Więcej linii lotniczych obsługuje funkcję Find My do lokalizowania zagubionego bagażu

Hakerzy znaleźli sposób, by oszukać system, sprawiając, że dowolne urządzenie Bluetooth jest rozpoznawane jako zgubiony AirTag. Aby złamać zabezpieczenia kryptograficzne i śledzić zmieniające się adresy Bluetooth, badacze wykorzystali setki procesorów graficznych (GPU), dostępnych w usługach wynajmu, zwykle używanych przez twórców AI czy górników kryptowalut.

Luka nie jest nowa, została zgłoszona Apple w czerwcu 2024 roku, jednak do tej pory firma nie wydała poprawki. Eksperci zalecają użytkownikom regularne aktualizacje systemu operacyjnego, które mogą zawierać przyszłe zabezpieczenia, oraz ostrożność w korzystaniu z urządzeń Bluetooth w miejscach publicznych. To odkrycie podważa dotychczasowe zaufanie do antyśledzeniowych funkcji sieci Find My, rzucając cień na jej bezpieczeństwo.

Nowy modem Apple C1 to dopiero początek

#Apple #cyberbezpieczeństwo #FindMy #lukaBezpieczeństwa #news #ZnajdźMój