L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a inclus plusieurs vulnérabilités affectant les smartphones Samsung dans son catalogue de vulnérabilités connues et exploitées (Known Exploited Vulnerabilities Catalog). Ces vulnérabilités ont probablement été exploitées par un fournisseur de logiciels espions commerciaux. La CISA a ajouté un total de huit nouvelles vulnérabilités à son catalogue, dont deux affectent les routeurs et points d'accès D-Link exploités par une variante du botnet Mirai. Les six autres vulnérabilités concernent les appareils mobiles Samsung, qui ont tous été corrigés par Samsung en 2021.

L'une des vulnérabilités, CVE-2021-25487, est un problème de lecture hors limites dans le pilote d'interface du modem qui pourrait entraîner une exécution de code arbitraire. Bien que Samsung l'ait classée comme "modérée", sa gravité selon le score CVSS est considérée comme "élevée". Une autre vulnérabilité, CVE-2021-25489, est un bogue de chaîne de format de faible gravité dans le pilote de l'interface du modem qui peut conduire à un déni de service. Ces vulnérabilités ont été corrigées par Samsung en octobre 2021.

La CISA a également ajouté deux vulnérabilités de gravité moyenne, CVE-2021-25394 et CVE-2021-25395, qui sont des bogues de type "use-after-free" dans le pilote du chargeur MFC. Samsung a corrigé ces vulnérabilités en mai 2021. En outre, deux autres vulnérabilités de gravité modérée, CVE-2021-25371 et CVE-2021-25372, ont été corrigées en mars 2021. Ces vulnérabilités concernent le pilote DSP et peuvent permettre à un attaquant de charger des fichiers ELF arbitraires ou d'obtenir un accès hors limites.

Il convient de noter que Samsung ne semble pas avoir mis à jour ses avis pour avertir les utilisateurs de l'exploitation de ces vulnérabilités. Bien qu'il n'existe aucun rapport public décrivant l'exploitation des vulnérabilités des appareils mobiles Samsung répertoriées par la CISA, il est probable qu'ils aient été ciblés par un fournisseur de logiciels espions commerciaux.

Dans un incident distinct, Samsung et la CISA ont récemment alerté les utilisateurs au sujet de la CVE-2023-21492, un problème d'exposition du pointeur du noyau lié aux fichiers journaux. Cette vulnérabilité peut permettre à un attaquant local privilégié de contourner la technique d'atténuation des exploits ASLR. Google, dont les chercheurs ont découvert cette vulnérabilité, a déclaré qu'elle était connue depuis 2021.

En outre, en novembre 2022, Google a divulgué des détails sur trois autres vulnérabilités de téléphones Samsung avec des identifiants CVE de 2021 qui ont été exploités par un fournisseur de logiciels espions anonyme contre des appareils Android, y compris des exploits de type "zero-day". Ces trois vulnérabilités ont été corrigées en mars 2021. Google a également indiqué être au courant de plusieurs autres vulnérabilités de Samsung avec des identifiants CVE 2021 qui ont été exploités.