Što trebaš znati
- Nedavna otkrića otkrila su rupu u Androidu, posebno s Google novčanikom.
- Kartice povezane s novčanikom riskiraju da se izlože ako su NFC i značajke prikvačivanja aplikacije omogućene.
- Rečeno je da je Google svjestan problema, a nedavna sigurnosna zakrpa za Android uređaje iz rujna 2023. možda ga je riješila.
- Pixel telefoni, međutim, tek trebaju dobiti sigurnosnu zakrpu.
Android prikvačivanje zaslona, poznato i kao funkcija prikvačivanja aplikacija, izvrsna je značajka koja korisnicima omogućuje prikvačivanje određenih aplikacija (putem pregleda aplikacija) na svoje zaslone. Međutim, nedavna sigurnosna ranjivost otkrila je da ova značajka može ugroziti vaše kreditne/debitne kartice ako je povezana s vašim Google novčanikom.
Nedavno Github pronalazak (preko 9to5Google) otkrio je mogući način povezivanja podataka o kartici s Google novčanikom putem NFC čitača opće namjene (u ovom slučaju Flipper Zero). Otkriće sugerira da je to zbog logičke pogreške u kodu kada se uređaj nalazi u načinu zaključanog zaslona - s omogućenim prikvačivanjem aplikacije - i uključenim NFC-om. Rizik je značajan jer za ovo iskorištavanje nije potrebna interakcija korisnika.
Član Githuba koristio je a Google Pixel 7 Pro s Prikvačivanje aplikacije omogućeno i uključeno "Traži PIN prije otkvačivanja". Najmanje jedna kartica mora biti povezana s Google novčanikom. Osim toga, NFC mora biti omogućen s dopuštenom opcijom "Potrebno otključavanje uređaja za NFC".
U ovom stanju, telefon je ranjiv jer usmjerava POS (u ovom slučaju Flipper Zero) na stražnju stranu Pixel 7 Pro mogli čitati podatke kartice (uključujući datum isteka broja kartice) koji su registrirani u Google novčaniku.
Slika 1 od 2
To omogućuje svakome tko ima NFC čitač, poput onog korištenog u videu, da dobije podatke o nečijoj kartici. Korisnik GitHuba napominje da bi, ako se koristi pravi POS stroj, postojao veći rizik da vaša kartica prođe neovlaštenu transakciju bez interakcije korisnika s telefonom.
Iako je malo vjerojatno da krajnji korisnik prolazi kroz gore navedene korake u redovnoj svakodnevnoj upotrebi, to je još uvijek prilično značajna ranjivost. Međutim, Google je već svjestan toga, a Android uređaji sa sigurnosnom zakrpom iz rujna 2023. trebali bi biti sigurni od iskorištavanja.
Mnogi telefoni, kao što je Galaxy S23 serije, već primaju Zakrpa za rujan 2023, iako Google tek treba objaviti zakrpu (ili ažuriranje za Android 14) na svojim Pixel telefonima, uključujući nedavni Pixel 7 niz.