A unidade de pesquisa em segurança do Google, por meio do Project Zero, detectou 18 vulnerabilidades nos modens Exynos, produzidos pela Samsung Semiconductor, sendo que quatro delas são de alto grau de risco que podem comprometer remotamente um telefone, bastando apenas que o invasor saiba o número do celular da vítima.
Segundo as descobertas no projeto, com pesquisa e desenvolvimento adicionais limitados, acreditam que invasores qualificados seriam capazes de criar rapidamente uma exploração operacional para comprometer os dispositivos afetados de forma silenciosa e remota.
Enquanto que as outras vulnerabilidades encontradas não são tão graves assim, uma vez que exigem o envolvimento de uma operadora de rede móvel mal intencionada ou ou um invasor com acesso local ao dispositivo.
De acordo com Google Project Zero, com base nas informações de sites públicos que mapeiam chipsets para dispositivos, os produtos afetados pela falha de segurança incluem os seguintes modelos, mas podem ser mais.
- Samsung Galaxy S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 e A04 com processadores Exynos
- Vivo (a fabricante chinesa, não a operadora brasileira) S16, S15, S6, X70, X60 e X30
- Pixel 6 e Pixel 7
- Carros com o chipset Exynos AutoT5123
Segundo uma das pesquisadoras do projeto, a Samsung foi alertada sobre a falha na segurança há três meses, mas ainda não liberou o patch de segurança com a solução do problema. Enquanto não chegam, o Google sugere desativar as ligações telefônicas por Wi-Fi e o voice-over-LTE (VoLTE). Assim, não há risco de sofrer ataques.
Como não é de praxe as aempresas divulgarem essas vulnerabilidades para o público, eles alertam primeiro a fabricante dos dispositivos para que possam resolver o problema. Se dentro de 90 dias não houver resolução, como é o caso do Project Zero, começam a informar os usuários sobre a falha de segurança e as medidas para se protegerem.
Com isso, eles incentivam os usuários a atualizarem seus dispositivos o mais rápido possível, para garantir que estejam executando as compilações mais recentes que corrigem as vulnerabilidades de segurança divulgadas e não divulgadas.
No caso dos dispositivos da linha Pixel, segundo o Google, a correção nos updates de segurança já foi concluída.
