Mitä sinun tarvitsee tietää
- Viimeaikaiset havainnot ovat paljastaneet porsaanreiän Androidissa, erityisesti Google Walletissa.
- Lompakolle linkitetyt kortit voivat paljastaa itsensä, jos NFC- ja sovellusten kiinnitysominaisuudet ovat käytössä.
- Googlen sanotaan olevan tietoinen ongelmasta, ja äskettäin syyskuussa 2023 julkaistu Android-laitteiden tietoturvakorjaus on saattanut korjata sen.
- Pixel-puhelimet eivät kuitenkaan ole vielä saaneet tietoturvakorjausta.
Android-näytön kiinnitys, eli sovellusten kiinnitystoiminto, on näppärä ominaisuus, jonka avulla käyttäjät voivat kiinnittää tiettyjä sovelluksia (sovellusten yleiskatsauksen kautta) näytöilleen. Äskettäinen tietoturvahaavoittuvuus on kuitenkin paljastanut, että tämä ominaisuus voi vaarantaa luotto- tai maksukorttisi, jos se on linkitetty Google Walletiin.
Viimeaikainen Githubin löytö (kautta 9to5Google) on paljastanut mahdollisen tavan linkittää korttitietosi Google Walletiin yleiskäyttöisen NFC-lukijan (tässä tapauksessa Flipper Zero) kautta. Havainto viittaa siihen, että tämä johtuu logiikkavirheestä koodissa, kun laite on lukitusnäytön tilassa - sovellusten kiinnitys on käytössä - ja NFC on päällä. Riski on merkittävä, koska käyttäjän vuorovaikutusta ei tarvita tähän hyväksikäyttöön.
Githubin jäsen käytti a Google Pixel 7 Pro kanssa Sovelluksen kiinnitys käytössä ja "Kysy PIN-koodia ennen kiinnityksen irrottamista" otettu käyttöön. Vähintään yhden kortin on oltava linkitetty Google Walletiin. Lisäksi NFC on otettava käyttöön ja "Vaadittu laitteen lukituksen avaus NFC: tä varten" -vaihtoehto on sallittu.
Tässä tilassa puhelin on haavoittuvainen, koska se osoittaa POS: n (tässä tapauksessa Flipper Zero) puhelimen takaosassa. Pixel 7 Pro pystyi lukemaan Google Walletiin rekisteröidyn kortin tiedot (mukaan lukien kortin numeron viimeinen voimassaolopäivä).
Kuva 1/2
Näin kuka tahansa, jolla on videossa käytetyn kaltainen NFC-lukija, voi saada jonkun korttitiedot. GitHub-käyttäjä huomauttaa, että jos käytetään oikeaa POS-automaattia, on olemassa suurempi riski, että kortillasi tapahtuu luvaton tapahtuma ilman käyttäjän vuorovaikutusta puhelimen kanssa.
Vaikka loppukäyttäjä, joka käy läpi edellä mainitut vaiheet tavallisessa päivittäisessä käytössä, on melko epätodennäköistä, se on silti melko huomattava haavoittuvuus. Google on kuitenkin jo tietoinen siitä, ja Android-laitteiden, joissa on syyskuun 2023 tietoturvakorjaus, pitäisi olla turvassa hyväksikäytöltä.
Monet puhelimet, kuten Galaxy S23 sarja, ovat jo vastaanottaneet Syyskuun 2023 patch, vaikka Google ei ole vielä julkaissut korjaustiedostoa (tai Android 14 -päivitystä) Pixel-puhelimiinsa, mukaan lukien äskettäin Pixel 7 sarja.