Apa yang perlu Anda ketahui
- Temuan terbaru telah mengungkap celah di Android, khususnya dengan Google Wallet.
- Kartu yang ditautkan ke dompet berisiko terekspos jika fitur NFC dan penyematan Aplikasi diaktifkan.
- Google dikatakan menyadari masalah ini, dan patch keamanan September 2023 terbaru untuk perangkat Android mungkin telah memperbaikinya.
- Namun ponsel Pixel belum menerima patch keamanan.
Penyematan layar Android, alias fungsi penyematan aplikasi, adalah fitur bagus yang memungkinkan pengguna menyematkan aplikasi tertentu (melalui ikhtisar aplikasi) di layar mereka. Namun, kerentanan keamanan baru-baru ini mengungkapkan bahwa fitur ini dapat membahayakan kartu kredit/debit Anda jika ditautkan ke Google Wallet Anda.
Baru baru ini Temuan Github (melalui 9to5Google) telah mengungkapkan kemungkinan cara untuk menautkan detail kartu Anda ke Google Wallet melalui pembaca NFC tujuan umum (Flipper Zero, dalam kasus ini). Temuan ini menunjukkan bahwa hal ini disebabkan oleh kesalahan logika dalam kode ketika perangkat berada dalam mode layar kunci – dengan penyematan aplikasi diaktifkan – dan NFC diaktifkan. Risikonya signifikan karena interaksi pengguna tidak diperlukan untuk eksploitasi ini.
Anggota Github menggunakan a Google Piksel 7 Pro dengan Penyematan Aplikasi diaktifkan dan "Minta Pin sebelum melepas pin" diaktifkan. Setidaknya satu kartu harus ditautkan ke Google Wallet. Selain itu, NFC harus diaktifkan dengan opsi "Buka kunci perangkat yang diperlukan untuk NFC" diizinkan.
Dalam keadaan ini, ponsel rentan karena menunjuk POS (dalam hal ini Flipper Zero) di bagian belakang Piksel 7 Pro dapat membaca data kartu (termasuk tanggal habis masa berlaku nomor kartu) yang terdaftar di Google Wallet.
Gambar 1 dari 2
Hal ini memungkinkan siapa saja yang memiliki pembaca NFC, seperti yang digunakan dalam video, untuk mendapatkan informasi kartu seseorang. Pengguna GitHub mencatat bahwa jika mesin POS asli digunakan, akan ada risiko lebih tinggi kartu Anda mengalami transaksi tidak sah tanpa interaksi pengguna dengan telepon.
Meskipun pengguna akhir mengalami langkah-langkah yang disebutkan di atas dalam penggunaan sehari-hari cukup kecil kemungkinannya, kerentanan ini masih cukup menonjol. Meskipun demikian, hal ini sudah diketahui oleh Google, dan perangkat Android yang menjalankan patch keamanan September 2023 seharusnya aman dari eksploitasi.
Banyak telepon, seperti Galaksi S23 seri, sudah menerima tambalan September 2023, meskipun Google belum meluncurkan patch (atau pembaruan Android 14) ke ponsel Pixel-nya, termasuk yang terbaru Piksel 7 seri.