Hvad du behøver at vide
- Nylige resultater har afsløret et smuthul i Android, især med Google Wallet.
- Kort, der er knyttet til tegnebogen, risikerer at blotte sig selv, hvis NFC- og app-pinningsfunktioner er aktiveret.
- Google siges at være opmærksom på problemet, og den seneste sikkerhedsrettelse fra september 2023 til Android-enheder har muligvis løst det.
- Pixel-telefonerne har dog endnu ikke modtaget sikkerhedspatchen.
Android screen pinning, også kaldet app pinning funktionalitet, er en smart funktion, der lader brugere fastgøre specifikke apps (via apps oversigt) på deres skærme. En nylig sikkerhedssårbarhed har dog afsløret, at denne funktion kan bringe dine kredit-/betalingskort i fare, hvis de er knyttet til din Google Wallet.
En nylig Github-fund (via 9to5Google) har afsløret en mulig måde at få dine kortoplysninger knyttet til Google Wallet gennem en generel NFC-læser (Flipper Zero, i dette tilfælde). Fundet tyder på, at dette skyldes en logisk fejl i koden, når enheden er i låseskærmstilstand - med app-pinning aktiveret - og NFC er tændt. Risikoen er betydelig, da brugerinteraktion ikke er nødvendig for denne udnyttelse.
Github-medlemmet brugte en Google Pixel 7 Pro med App-fastgørelse aktiveret og "Spørg om pin før frigørelse" er slået til. Mindst ét kort skal være knyttet til Google Wallet. Derudover skal NFC være aktiveret med muligheden "Påkrævet enhedslås til NFC" tilladt.
I denne tilstand er telefonen sårbar ved at pege en POS (Flipper Zero i dette tilfælde) på bagsiden af Pixel 7 Pro kunne læse kortets data (inklusive kortnummerets udløbsdato), der var registreret i Google Wallet.
Billede 1 af 2
Dette gør det muligt for alle med en NFC-læser, som den der bruges i videoen, at få en persons kortoplysninger. GitHub-brugeren bemærker, at hvis en rigtig POS-maskine bruges, vil der være en højere risiko for, at dit kort gennemgår en uautoriseret transaktion uden brugerinteraktion med telefonen.
Selvom det er ret usandsynligt, at en slutbruger gennemgår de førnævnte trin i almindelig daglig brug, er det stadig en temmelig bemærkelsesværdig sårbarhed. Når det er sagt, er det en, som Google allerede er opmærksom på, og Android-enheder, der kører sikkerhedspatchen fra september 2023, skulle være sikret mod udnyttelsen.
Mange telefoner, som f.eks Galaxy S23 serie, modtager allerede September 2023 patch, selvom Google endnu ikke udruller patchen (eller Android 14-opdateringen) til sine Pixel-telefoner, inklusive de seneste Pixel 7 serie.