Τι πρέπει να ξέρετε
- Πρόσφατα ευρήματα αποκάλυψαν ένα κενό στο Android, ιδιαίτερα στο Πορτοφόλι Google.
- Οι κάρτες που συνδέονται με το πορτοφόλι κινδυνεύουν να εκτεθούν εάν είναι ενεργοποιημένες οι λειτουργίες NFC και καρφίτσωμα εφαρμογής.
- Η Google λέγεται ότι γνωρίζει το πρόβλημα και η πρόσφατη ενημερωμένη έκδοση κώδικα ασφαλείας του Σεπτεμβρίου 2023 για συσκευές Android ενδέχεται να το έχει επιλύσει.
- Τα τηλέφωνα Pixel, ωστόσο, δεν έχουν λάβει ακόμη την ενημερωμένη έκδοση κώδικα ασφαλείας.
Το καρφίτσωμα οθόνης Android, γνωστό και ως λειτουργία καρφιτσώματος εφαρμογών, είναι μια εξαιρετική λειτουργία που επιτρέπει στους χρήστες να καρφιτσώνουν συγκεκριμένες εφαρμογές (μέσω επισκόπησης εφαρμογών) στις οθόνες τους. Ωστόσο, μια πρόσφατη ευπάθεια ασφαλείας αποκάλυψε ότι αυτή η δυνατότητα μπορεί να θέσει σε κίνδυνο τις πιστωτικές/χρεωστικές κάρτες σας εάν συνδεθούν με το Πορτοφόλι σας Google.
Πρόσφατο Εύρεση Github (μέσω 9to5Google) αποκάλυψε έναν πιθανό τρόπο σύνδεσης των στοιχείων της κάρτας σας με το Πορτοφόλι Google μέσω ενός αναγνώστη NFC γενικής χρήσης (σε αυτήν την περίπτωση το Flipper Zero). Το εύρημα υποδηλώνει ότι αυτό οφείλεται σε ένα λογικό σφάλμα στον κώδικα όταν η συσκευή βρίσκεται σε λειτουργία οθόνης κλειδώματος - με ενεργοποιημένο το pinning της εφαρμογής - και το NFC ενεργοποιημένο. Ο κίνδυνος είναι σημαντικός καθώς η αλληλεπίδραση με τον χρήστη δεν είναι απαραίτητη για αυτήν την εκμετάλλευση.
Το μέλος του Github χρησιμοποίησε ένα Google Pixel 7 Pro με Καρφίτσωμα εφαρμογής ενεργοποιήθηκε και ενεργοποιήθηκε η επιλογή "Ζητήστε καρφίτσωμα πριν ξεκαρφιτσωθεί". Τουλάχιστον μία κάρτα πρέπει να είναι συνδεδεμένη με το Πορτοφόλι Google. Επιπλέον, το NFC πρέπει να είναι ενεργοποιημένο με την επιλογή "Απαιτούμενο ξεκλείδωμα συσκευής για NFC" επιτρέπεται.
Σε αυτήν την κατάσταση, το τηλέφωνο είναι ευάλωτο καθώς δείχνει ένα POS (Flipper Zero σε αυτήν την περίπτωση) στο πίσω μέρος του Pixel 7 Pro μπορούσε να διαβάσει τα δεδομένα της κάρτας (συμπεριλαμβανομένης της ημερομηνίας λήξης του αριθμού κάρτας) που ήταν καταχωρημένα στο Πορτοφόλι Google.
Εικόνα 1 από 2
Αυτό δίνει τη δυνατότητα σε οποιονδήποτε διαθέτει συσκευή ανάγνωσης NFC, όπως αυτή που χρησιμοποιείται στο βίντεο, να λάβει τα στοιχεία της κάρτας κάποιου. Ο χρήστης του GitHub σημειώνει ότι εάν χρησιμοποιηθεί ένα πραγματικό μηχάνημα POS, θα υπάρχει μεγαλύτερος κίνδυνος η κάρτα σας να υποβληθεί σε μη εξουσιοδοτημένη συναλλαγή χωρίς αλληλεπίδραση χρήστη με το τηλέφωνο.
Ενώ ένας τελικός χρήστης που ακολουθεί τα προαναφερθέντα βήματα στην τακτική καθημερινή χρήση είναι μάλλον απίθανο, εξακολουθεί να είναι μια αρκετά αξιοσημείωτη ευπάθεια. Τούτου λεχθέντος, είναι κάτι που η Google γνωρίζει ήδη και οι συσκευές Android που εκτελούν την ενημερωμένη έκδοση κώδικα ασφαλείας του Σεπτεμβρίου 2023 θα πρέπει να είναι ασφαλείς από την εκμετάλλευση.
Πολλά τηλέφωνα, όπως το Galaxy S23 σειρά, λαμβάνουν ήδη το Ενημερωμένη έκδοση κώδικα Σεπτεμβρίου 2023, αν και η Google δεν έχει ακόμη κυκλοφορήσει την ενημερωμένη έκδοση κώδικα (ή την ενημέρωση Android 14) στα τηλέφωνά της Pixel, συμπεριλαμβανομένης της πρόσφατης Pixel 7 σειρά.