Lo que necesitas saber
- Hallazgos recientes han revelado una laguna en Android, particularmente en Google Wallet.
- Las tarjetas vinculadas a la billetera corren el riesgo de exponerse si las funciones NFC y de fijación de aplicaciones están habilitadas.
- Se dice que Google está al tanto del problema y es posible que el reciente parche de seguridad de septiembre de 2023 para dispositivos Android lo haya solucionado.
- Los teléfonos Pixel, sin embargo, aún no han recibido el parche de seguridad.
La fijación de pantalla de Android, también conocida como función de fijación de aplicaciones, es una característica ingeniosa que permite a los usuarios fijar aplicaciones específicas (a través de la descripción general de aplicaciones) en sus pantallas. Sin embargo, una vulnerabilidad de seguridad reciente ha revelado que esta característica puede poner en riesgo sus tarjetas de crédito/débito si está vinculada a su Google Wallet.
Un reciente Encontrar Github (a través de 9to5Google) ha revelado una posible forma de vincular los datos de su tarjeta a Google Wallet a través de un lector NFC de uso general (Flipper Zero, en este caso). El hallazgo sugiere que esto se debe a un error lógico en el código cuando el dispositivo reside en el modo de pantalla de bloqueo (con la fijación de aplicaciones habilitada) y el NFC activado. El riesgo es significativo ya que no es necesaria la interacción del usuario para esta explotación.
El miembro de Github usó un Google Píxel 7 Pro con Fijación de aplicaciones habilitado y "Solicitar PIN antes de desanclar" activado. Al menos una tarjeta debe estar vinculada a Google Wallet. Además, NFC debe estar habilitado con la opción "Desbloqueo de dispositivo requerido para NFC" permitida.
En este estado, el teléfono es vulnerable ya que apunta un POS (Flipper Zero en este caso) a la parte posterior del Píxel 7 Pro podía leer los datos de la tarjeta (incluida la fecha de vencimiento del número de tarjeta) que estaban registrados en Google Wallet.
Imagen 1 de 2
Esto hace posible que cualquier persona con un lector NFC, como el que se usa en el vídeo, pueda obtener la información de la tarjeta de alguien. El usuario de GitHub señala que si se utiliza una máquina POS real, habría un mayor riesgo de que su tarjeta sufra una transacción no autorizada sin la interacción del usuario con el teléfono.
Si bien es bastante improbable que un usuario final siga los pasos antes mencionados en el uso diario, sigue siendo una vulnerabilidad bastante notable. Dicho esto, Google ya lo conoce y los dispositivos Android que ejecutan el parche de seguridad de septiembre de 2023 deberían estar a salvo de la explotación.
Muchos teléfonos, como el Galaxia S23 serie, ya están recibiendo el Parche de septiembre de 2023, aunque Google aún debe implementar el parche (o la actualización de Android 14) en sus teléfonos Pixel, incluido el reciente Píxel 7 serie.