Projeto do Google descobre falha em modems da Samsung para celulares

Modems de chips Exynos, fabricados pela Samsung, possuem 18 vulnerabilidades; atacante pode transmitir código malicioso para monitorar dados recebidos e enviados

Giovanni Santa Rosa
Por
• Atualizado há 8 meses
Exynos 1080 (imagem original: Samsung)
Exynos 1080 é um dos chipsets afetados (Imagem: Divulgação/Samsung)

A unidade de pesquisa em segurança do Google detectou 18 vulnerabilidades nos modems Exynos, fabricados pela Samsung. Quatro delas são de alto grau de risco e abrem a possibilidade para um ataque, desde que o agente mal-intencionado saiba o número de telefone da vítima.

Segundo o Google Project Zero, a lista de aparelhos afetados pela falha inclui estes modelos, mas pode ir além disso:

  • Samsung Galaxy S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 e A04 com processadores Exynos
  • Vivo (a fabricante chinesa, não a operadora brasileira) S16, S15, S6, X70, X60 e X30
  • Pixel 6 e Pixel 7
  • Carros com o chipset Exynos AutoT5123

Como explica o TechCrunch, os modems convertem sinais de celular em dados. Se alguém conseguir enviar um código por sinal de celular, é possível conseguir acesso às informações enviadas e recebidas por um aparelho, como chamadas, mensagens de texto e transferências de dados. A vítima não notaria isso.

Samsung foi avisada há três meses, mas não resolveu

O Google Project Zero e outras empresas de pesquisa em segurança raramente revelam falhas antes que elas tenham sido devidamente corrigidas.

A empresa reconhece que isso representa um risco para os usuários, já que atacantes com habilidade poderiam criar rapidamente uma maneira de explorar essa vulnerabilidade.

Uma das pesquisadoras do projeto, porém, diz que a Samsung foi alertada há 90 dias, mas ainda não liberou o patch de segurança com a solução do problema.

Isso chama atenção, já que a marca sul-coreana vem atualizando seus aparelhos para o Android 13 e para a One UI 5.1 em ritmo acelerado.

A política de comunicar a falha à empresa e esperar 90 dias para revelar ao público é de praxe no Google Project Zero. A ideia é que as fabricantes possam corrigir as falhas nesse período.

Caso não o façam, os pesquisadores revelam o problema e as medidas que devem ser tomadas pelos usuários para se proteger.

A falha também afeta dispositivos da linha Pixel. O Google, porém, já incluiu a correção nos updates de segurança de março.

Enquanto os patches não chegam, o Google sugere desativar as ligações telefônicas por Wi-Fi e o voice-over-LTE (VoLTE). Assim, não há risco de sofrer ataques.

Com informações: Google Project Zero, TechCrunch.

Relacionados