leggenda no. È raro e tendenzialmente se mantieni aggiornato il sistema operativo, oltre ad aggiornamenti vari di sicurezza, il sistema stesso in linea di massima riesce ad impedire l'accesso esterno trattandosi di un accesso a basso livello (vale a dire, vicino al livello macchina rispetto al classico livello di applicazione, interfaccia utente, astrazione). In questo senso "funziona" perché agendo a basso livello ha maggiore accesso fisico e quindi può roginare l'hardware, potenzialmente (pensiamo al cambio della frequenza della CPU, overclock volutamente distruttivo, ecc). Ora non accadono queste cose, dico solo che teoricamente è comunque possibile.
In casi rari, ad esempio mi viene in mente una possibile vulnerabilità zero-click (o zero-day), approfondimento che sono malware altamente specializzati e mirati, riuscendo a sfruttare una vulnerabilità scoperta presente nel sistema operativo (motivo per cui aggiornare offre maggiore protezione), agiscono sfruttando questo "bug" e quindi ben diverso dal classico phishing, facendo leva sulla social engineering e diciamo pure, sulla stupidità delle persone. Al giorno d'oggi è ben più semplice fregare il cervello umano rispetto ad un software, questo dovrebbe far riflettere! 🙂