Que souhaitez-vous savoir
- Des découvertes récentes ont révélé une faille dans Android, notamment avec Google Wallet.
- Les cartes liées au portefeuille risquent de s'exposer si les fonctionnalités NFC et d'épinglage d'application sont activées.
- Google serait conscient du problème et le récent correctif de sécurité de septembre 2023 pour les appareils Android aurait pu le résoudre.
- Cependant, les téléphones Pixel n'ont pas encore reçu le correctif de sécurité.
L'épinglage d'écran Android, également appelé fonctionnalité d'épinglage d'applications, est une fonctionnalité intéressante qui permet aux utilisateurs d'épingler des applications spécifiques (via l'aperçu des applications) sur leurs écrans. Cependant, une récente vulnérabilité de sécurité a révélé que cette fonctionnalité peut mettre en danger vos cartes de crédit/débit si elles sont liées à votre Google Wallet.
Une récente Recherche Github (via 9to5Google) a révélé un moyen possible d'obtenir les détails de votre carte liés à Google Wallet via un lecteur NFC à usage général (Flipper Zero, dans ce cas). Les résultats suggèrent que cela est dû à une erreur logique dans le code lorsque l'appareil réside en mode écran de verrouillage – avec l'épinglage d'application activé – et le NFC activé. Le risque est important car l'interaction de l'utilisateur n'est pas nécessaire pour cette exploitation.
Le membre de Github a utilisé un GooglePixel 7 Pro avec Épinglage d'application activé et « Demander un code PIN avant de désépingler » activé. Au moins une carte doit être associée à Google Wallet. De plus, NFC doit être activé avec l'option « Déverrouillage de périphérique requis pour NFC » autorisée.
Dans cet état, le téléphone est vulnérable car il pointe un point de vente (Flipper Zero dans ce cas) à l'arrière du téléphone. Pixel 7 Pro pouvait lire les données de la carte (y compris la date d'expiration du numéro de carte) enregistrées dans Google Wallet.
Image 1 sur 2
Cela permet à toute personne possédant un lecteur NFC, comme celui utilisé dans la vidéo, d'obtenir les informations de la carte de quelqu'un. L'utilisateur de GitHub note que si un véritable terminal de point de vente est utilisé, le risque que votre carte fasse l'objet d'une transaction non autorisée sans interaction de l'utilisateur avec le téléphone serait plus élevé.
Bien qu'il soit assez improbable qu'un utilisateur final suive les étapes susmentionnées dans le cadre d'une utilisation quotidienne régulière, il s'agit toujours d'une vulnérabilité assez notable. Cela dit, Google en est déjà conscient, et les appareils Android exécutant le correctif de sécurité de septembre 2023 devraient être à l’abri de cette exploitation.
De nombreux téléphones, comme le Galaxie S23 séries, reçoivent déjà le Patch de septembre 2023, bien que Google n'ait pas encore déployé le correctif (ou la mise à jour Android 14) sur ses téléphones Pixel, y compris le récent Pixel 7 série.