A equipe do Project Zero do Google falou sobre sérias vulnerabilidades que representam uma ameaça para smartphones com modems Exynos usados nos carros-chefe Pixel 6 e 7, smartphones Samsung, Vivo e muitos dispositivos vestíveis, principalmente relógios inteligentes. Felizmente, seus usuários têm a opção de proteger suas informações antes que o software seja atualizado.
O Project Zero identificou 18 vulnerabilidades do modem Exynos no final de 2022 e início de 2023. Quatro deles, incluindo o CVE-2023-24033, permitem que invasores executem códigos remotamente nos dispositivos dos usuários, comprometendo os telefones sem a participação deles – basta saber o número da vítima. O Google acredita que invasores habilidosos serão capazes de criar rapidamente uma solução funcional para uso em propósitos impróprios.
Outras 14 vulnerabilidades não são tão críticas e exigem a participação de uma operadora de rede móvel sem escrúpulos ou o acesso “local” ao dispositivo por um invasor. O Project Zero disse que abriu uma exceção à sua política de atraso na divulgação de vulnerabilidades devido ao nível de ameaça e à velocidade com que os invasores podem potencialmente criar uma exploração funcional. De acordo com a Samsung em janeiro de 2023, o problema diz respeito aos chips Exynos Modem 5123, Exynos Modem 5300, Exynos 980, Exynos 1080 e Exynos Auto T5123. O Google compilou uma lista de produtos vulneráveis:
- Smartphones Samsung Galaxy, incluindo as séries S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 e A04;
- Smartphones Vivo, incluindo as séries S16, S15, S6, X70, X60 e X30;
- Google Pixel 6 e 6 Pro, Pixel 6a, Pixel 7 e 7 Pro;
- Todos os dispositivos vestíveis com chipsets Exynos W920;
- Todos os veículos que usam chipsets Exynos Auto T5123.
Além do Pixel 6 (Exynos 5123) e 7 (Exynos 5300), estamos falando do carro-chefe Galaxy S22 e Galxy Watch 4 e 5. Em alguns smartphones Pixel, a principal vulnerabilidade CVE-2023-24033 já foi corrigida pelo Patch de segurança de março, lançado na segunda-feira. No entanto, Pixel 6, 6 Pro e 6a ainda não receberam a atualização de março e, segundo o 9to5google, ainda estão vulneráveis.
O Project Zero está aconselhando temporariamente, com atualizações pendentes de software em todos os smartphones afetados, para se proteger desativando as chamadas Wi-Fi e Voice-over-LTE (VoLTE). É verdade que, de acordo com a Sprint / T-Mobile, nos smartphones Google Pixel, graças às atualizações em 2021, o VoLTE é ativado automaticamente e é impossível desligá-lo por meios convencionais, mas você pode desativar a função em modelos de outras marcas.