ผู้ไม่หวังดีกำลังโจมตีโดยใช้ช่องโหว่ zero-day ในไลบรารีการประมวลผลรูปภาพบนระบบ Android ของ Samsung เพื่อแพร่กระจาย Spyware ที่ยังไม่เคยถูกพบมาก่อนชื่อ 'LandFall' โดยใช้รูปภาพอันตรายที่ส่งผ่านทาง WhatsApp

ช่องโหว่ด้านความปลอดภัยดังกล่าวได้รับการแก้ไขแล้วในเดือนเมษายนที่ผ่านมา แต่นักวิจัยพบหลักฐานว่าผู้ไม่หวังดีได้เริ่มใช้ LandFall มาตั้งแต่เดือนกรกฎาคม 2024 เป็นอย่างน้อย และมุ่งเป้าไปที่ผู้ใช้ Samsung Galaxy บางรายในแถบตะวันออกกลาง

ช่องโหว่ zero-day ดังกล่าวมีหมายเลข CVE-2025-21042 ซึ่งเป็นช่องโหว่ประเภท "out-of-bounds write" ในไลบรารี libimagecodec.

WhatsApp ได้ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยในแอปพลิเคชันส่งข้อความสำหรับ iOS และ macOS หลังจากพบว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแบบ Zero-Day ที่มีการกำหนดเป้าหมายโดยเฉพาะ

ทาง WhatsApp ระบุว่า ช่องโหว่แบบ Zero-click นี้ มีหมายเลข CVE-2025-55177 ซึ่งส่งผลกระทบต่อ WhatsApp ในเวอร์ชันดังต่อไปนี้ :

WhatsApp สำหรับ iOS เวอร์ชันก่อน 2.25.21.73
WhatsApp Business สำหรับ iOS เวอร์ชันก่อน 2.25.21.78
WhatsApp สำหรับ Mac เวอร์ชันก่อน 2.25.21.78

WhatsApp ระบุในประกาศด้านความปลอดภัยเมื่อวันศุกร์ที่ผ่านมาว่า "การยืนยันตัวตนที่ไม่สมบูรณ์ของข้อความที่ใช้ synchronization ข้อมูลระหว่างอุปกรณ์ที่เชื่อมต่อกัน อาจทำให้ผู้ใช้งานที่ไม่เกี่ยวข้องสามารถสั่งให้อุปกรณ์ของเป้าหมายประมวลผลเนื้อหาจาก URL ใด ๆ ก็ได้"

"เราประเมินว่าช่องโหว่ดังกล่าว เมื่อทำงานร่วมกับช่องโหว่แบบ OS-level บนแพลตฟอร์มของ Apple (CVE-2025-43300) อาจถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนสูงเพื่อโจมตีผู้ใช้งานที่เป็นเป้าหมายโดยเฉพาะ"

เมื่อช่วงต้นเดือนที่ผ่านมา ทาง Apple ก็ได้ออกแพตช์อัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่แบบ Zero-day (CVE-2025-43300) พร้อมทั้งระบุด้วยว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีที่มีความซับซ้อนขั้นสูงเป็นพิเศษ

แม้ว่าทั้งสองบริษัทยังไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี แต่ Donncha Ó Cearbhaill (หัวหน้าห้องแล็บด้านความปลอดภัยของ Amnesty International) เปิดเผยว่า WhatsApp เพิ่งได้แจ้งเตือนผู้ใช้บางรายว่าพวกเขาตกเป็นเป้าหมายของแคมเปญ spyware ขั้นสูงในช่วง 90 วันที่ผ่านมา

ข้อความในคำเตือนระบุว่า “เราได้ทำการปรับปรุงแก้ไขเพื่อป้องกันไม่ให้การโจมตีลักษณะนี้เกิดขึ้นผ่านทาง WhatsApp ได้อีก อย่างไรก็ตาม ระบบปฏิบัติการของอุปกรณ์ของคุณอาจยังคงถูกโจมตีจากมัลแวร์ หรืออาจตกเป็นเป้าหมายการโจมตีในรูปแบบอื่นได้"

ในการแจ้งเตือนภัยคุกคามที่ส่งไปยังผู้ที่อาจได้รับผลกระทบ ทาง WhatsApp ได้แนะนำให้พวกเขาทำการรีเซ็ตอุปกรณ์กลับไปเป็นค่าเริ่มต้นจากโรงงาน (factory reset) และให้อัปเดตระบบปฏิบัติการ และซอฟต์แวร์ของอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ

เมื่อเดือนมีนาคมที่ผ่านมา WhatsApp ได้ออกแพตช์แก้ไขช่องโหว่แบบ Zero-day อีกรายการหนึ่ง ที่ถูกใช้เพื่อติดตั้ง Graphite spyware ของบริษัท Paragon โดยการแก้ไขดังกล่าวเกิดขึ้นหลังจากที่ได้รับรายงานจากนักวิจัยด้านความปลอดภัยของ Citizen Lab มหาวิทยาลัย Toronto's

ในเวลานั้น โฆษกของ WhatsApp ได้แจ้งกับ BleepingComputer โดยระบุว่า "WhatsApp ได้ขัดขวางแคมเปญ Spyware ของ Paragon ที่มุ่งเป้าโจมตีผู้ใช้จำนวนหนึ่ง ซึ่งรวมถึงนักข่าว และสมาชิกภาคประชาสังคม โดยได้ติดต่อโดยตรงไปยังผู้ที่เชื่อว่าได้รับผลกระทบแล้ว"

 

ที่มา : bleepingcomputer.