Négy, egymás után kihasználható sérülékenységere hívta fel a figyelmet a pénteki DEF CON konferencián Pedro Umbelino, a portugál székhelyű Char49 kiberbiztonsági cég egy kutatója. A sebezhetőségek kihasználásával egy rosszindulatú alkalmazás képes lehetett volna ugyanarra, mint a Find My Mobile funkció, azaz például a gyári beállítások visszaállítására, adatok törlésére, az eszköz helyzetének valós időben történő nyomkövetésére, telefonhívások és üzenetek lekérdezésére, valamint a készülék zárolására, vagy feloldására. A rosszindulatú alkalmazásnak mindehhez elegendő lett volna hozzáférést kérnie a készülék SD kártyájához, hogy az első sebezhetőség kihasználásával létrehozzon egy fájlt, ami lehetővé teszi a támadó számára, hogy lehallgassa az eszköz háttér-kiszolgálókkal történő kommunikációját. A sérülékenységek kihasználását Samsung Galaxy S7, S8 és S9+ készüléken bizonyították, még azelőtt, hogy a gyártó 2019 októberében kiadta a javítást. A cég részletes elemzése innen érhető el.
