Co potřebuješ vědět
- Nedávná zjištění odhalila mezeru v systému Android, zejména v Peněžence Google.
- Pokud jsou povoleny funkce NFC a připínání aplikací, hrozí, že se karty propojené s peněženkou odkryjí.
- Říká se, že Google si je tohoto problému vědom a nedávná bezpečnostní oprava pro zařízení Android ze září 2023 to mohla vyřešit.
- Telefony Pixel však bezpečnostní opravu teprve obdrží.
Připínání obrazovky Android, neboli funkce připínání aplikací, je šikovná funkce, která uživatelům umožňuje připnout konkrétní aplikace (prostřednictvím přehledu aplikací) na jejich obrazovky. Nedávná chyba zabezpečení však odhalila, že pokud je tato funkce propojena s vaší Peněženkou Google, může ohrozit vaše kreditní/debetní karty.
Nedávný Github nález (přes 9to5Google) odhalil možný způsob, jak propojit údaje o kartě s Peněženkou Google prostřednictvím univerzální čtečky NFC (v tomto případě Flipper Zero). Zjištění naznačuje, že je to kvůli logické chybě v kódu, když se zařízení nachází v režimu uzamčené obrazovky – s povoleným připínáním aplikace – a zapnutou funkcí NFC. Riziko je značné, protože pro toto využití není nutná interakce uživatele.
Člen Github používal a Google Pixel 7 Pro s Připnutí aplikace povoleno a zapnuto „Požádat o PIN před odepnutím“. Alespoň jedna karta musí být propojena s Peněženkou Google. Kromě toho musí být povoleno NFC s povolenou možností „Požadované odemknutí zařízení pro NFC“.
V tomto stavu je telefon zranitelný, protože ukazuje POS (v tomto případě Flipper Zero) na zadní stranu Pixel 7 Pro mohl přečíst data karty (včetně data vypršení platnosti čísla karty), která byla zaregistrována v Peněžence Google.
Obrázek 1 ze 2
To umožňuje komukoli, kdo má čtečku NFC, jako je ta použitá ve videu, získat informace o něčí kartě. Uživatel GitHubu poznamenává, že pokud je použit skutečný POS automat, existuje vyšší riziko, že vaše karta projde neoprávněnou transakcí bez interakce uživatele s telefonem.
I když je koncový uživatel, který projde výše uvedenými kroky při běžném každodenním používání, poměrně nepravděpodobný, stále se jedná o poměrně významnou zranitelnost. To znamená, že je to něco, o čem už Google ví, a zařízení Android s opravou zabezpečení ze září 2023 by měla být v bezpečí před zneužitím.
Mnoho telefonů, jako např Galaxy S23 série, již dostávají Patch ze září 2023, ačkoli Google ještě nezavede opravu (nebo aktualizaci Android 14) pro své telefony Pixel, včetně nedávných Pixel 7 série.