An attacker needs only a phone number to potentially break into the device
No cruzamento entre conveniência e vulnerabilidade, pesquisadores do Project Zero do Google revelaram dezoito falhas de segurança nos chipsets Exynos da Samsung — quatro delas capazes de comprometer um dispositivo remotamente com nada mais do que um número de telefone. O alcance é vasto: centenas de milhões de aparelhos Samsung, Google Pixel e Vivo, além de veículos equipados com o chipset Exynos Auto T5123, estão expostos a uma ameaça que opera em silêncio, invisível ao usuário comum. É um lembrete de que a segurança digital repousa sobre camadas que raramente vemos — e que, quando essas camadas falham, a proteção depende da velocidade e da transparência de quem as controla.
- Quatro das dezoito vulnerabilidades permitem que atacantes invadam dispositivos remotamente conhecendo apenas o número de telefone da vítima — sem qualquer sinal visível de intrusão.
- O risco se estende a centenas de milhões de aparelhos em todo o mundo, abrangendo linhas flagship e de entrada da Samsung, os Pixel 6 e 7 do Google, modelos Vivo e até automóveis com chipset Exynos.
- As outras quatorze falhas, embora sérias, exigem acesso físico ao aparelho ou uma operadora de rede comprometida, o que limita — mas não elimina — o universo de possíveis atacantes.
- O Google recomenda desativar chamadas Wi-Fi e VoLTE como medida provisória, mas a solução definitiva depende de atualizações de firmware que os fabricantes ainda não confirmaram.
- A Samsung, empresa com o maior número de dispositivos afetados, permanece em silêncio público — sem prazo, sem plano divulgado, deixando usuários em uma espera sem garantias.
A divisão de pesquisa de segurança do Google revelou dezoito vulnerabilidades nos chipsets Exynos que alimentam dispositivos da Samsung, Google e Vivo. As descobertas, divulgadas por Tim Willis, líder do Project Zero, descrevem uma cadeia de fraquezas identificadas entre o fim de 2022 e o início de 2023 — falhas que poderiam permitir a invasão silenciosa de aparelhos sem que os usuários percebessem qualquer anomalia.
As quatro vulnerabilidades mais críticas são as que mais preocupam: elas permitem execução remota de código com um único dado — o número de telefone da vítima. Pesquisadores do Project Zero acreditam que atacantes experientes poderiam desenvolver exploits funcionais rapidamente, comprometendo dispositivos à distância e sem deixar rastros. Além do risco de roubo de dados, as falhas podem desativar chamadas Wi-Fi e VoLTE, cortando canais de comunicação essenciais.
A exposição é ampla. Na Samsung, vão desde a linha S22 até modelos de entrada como o A04. Os Pixel 6 e 7 do Google estão na lista, assim como vários modelos Vivo e veículos equipados com o chipset Exynos Auto T5123. Estima-se que centenas de milhões de dispositivos ao redor do mundo sejam afetados.
Como proteção temporária, o Google orienta os usuários a desativarem as chamadas Wi-Fi e VoLTE nas configurações do aparelho — uma medida que fecha um vetor de ataque, mas não resolve o problema na raiz. A solução real exige atualizações de firmware por parte dos fabricantes, um processo que pode ser lento e que nem sempre alcança aparelhos mais antigos.
A Samsung, com o maior parque de dispositivos vulneráveis, não se pronunciou publicamente. Sem prazo para correções e sem comunicado oficial, os usuários ficam numa posição incerta: podem tomar precauções manuais, mas não sabem quando — ou se — seus aparelhos serão de fato protegidos. A falha está no chipset, uma camada de hardware que a maioria das pessoas nunca vê, mas que controla operações fundamentais do dispositivo.
Google's security research division has identified a serious problem hiding inside millions of smartphones. Between late 2022 and early 2023, researchers at Project Zero discovered eighteen distinct vulnerabilities in the Exynos chipsets that power devices from Samsung, Google, and Vivo. The findings, disclosed by Tim Willis, who leads Project Zero, represent a cascade of weaknesses that could allow attackers to silently compromise phones in ways users would never detect.
The most alarming vulnerabilities are four of the eighteen that permit remote code execution with minimal information. An attacker needs only a victim's phone number to potentially break into the device. This is not a theoretical risk—Project Zero's researchers believe that skilled attackers could quickly develop working exploits to compromise affected phones remotely and without any visible sign of intrusion. The attack surface extends beyond simple data theft: the vulnerabilities can disable Wi-Fi calling and Voice-over-LTE, cutting off communication pathways that users depend on.
The remaining fourteen vulnerabilities, while serious, require either a malicious mobile network operator or physical access to the device itself. This distinction matters because it narrows the pool of potential attackers, though it does not eliminate the threat entirely. A compromised network operator or someone with hands-on access to a phone could still exploit these flaws to gain control of the device.
The reach of these vulnerabilities is vast. Samsung's exposure spans multiple product lines: the flagship S22 series, the mid-range M33, M13, and M12, and the budget-conscious A-series phones including the A71, A53, A33, A21s, A13, A12, and A04. Google's Pixel 6 and Pixel 7 are affected. Vivo's S16, S15, S6, X70, X60, and X30 models are vulnerable. Even vehicles equipped with the Exynos Auto T5123 chipset face exposure. The scale of the affected installed base runs into the hundreds of millions of devices worldwide.
Google has offered interim protection: users can manually disable Wi-Fi calling and Voice-over-LTE in their device settings, which closes one attack vector. This is a temporary measure, not a permanent fix. The real solution requires firmware updates from the manufacturers themselves, patches that must be developed, tested, and distributed to devices that may be years old and no longer receiving regular security updates.
Samsung, the company with the largest number of affected devices, has not publicly responded to the disclosure. No statement has been issued about a timeline for patches, which devices will receive fixes first, or how the company plans to address the vulnerability. This silence leaves users in an uncertain position: they can take the manual precaution of disabling certain calling features, but they cannot know when their devices will be truly secured. The vulnerability sits in the chipset itself, a layer of hardware and firmware that most users never think about but that controls fundamental operations of their phones. Until patches arrive, the risk remains.
Citas Notables
Skilled attackers would be capable of quickly creating operational exploits to compromise affected devices silently and remotely— Project Zero researchers, via Tim Willis
La Conversación del Hearth Otra perspectiva de la historia
Why does knowing just a phone number matter so much here? Isn't that information already public?
It is public, which is exactly the problem. An attacker doesn't need to trick you, steal credentials, or get you to click anything. They just need your number, which they can find in a directory or buy in bulk. Then the phone itself becomes the target.
And these four vulnerabilities—they work on all the devices listed, or just some?
The source doesn't specify which devices are vulnerable to which flaws. That's actually one of the frustrating gaps. We know the chipset is affected across those product lines, but the granular details haven't been published yet.
Why would disabling Wi-Fi calling actually help? Doesn't the vulnerability exist in the chipset regardless?
Good question. The vulnerability can be exploited through those calling protocols specifically. Disabling them closes that particular door, but it's not a full fix—it's damage control while waiting for patches.
Samsung hasn't said anything. Does that mean they're working on it quietly, or are they caught off guard?
We don't know. Silence could mean either. But in security disclosure, silence usually means the company is scrambling behind the scenes and hasn't decided what to tell the public yet.
How long do you think it'll take for patches to reach older phones?
That's the real question, isn't it? Flagship phones might get updates within weeks. Older budget models? Some may never get a patch at all.