Cosa hai bisogno di sapere
- Recenti scoperte hanno svelato una lacuna in Android, in particolare con Google Wallet.
- Le carte collegate al portafoglio rischiano di esporsi se le funzionalità NFC e App Pinning sono abilitate.
- Si dice che Google sia a conoscenza del problema e la recente patch di sicurezza di settembre 2023 per i dispositivi Android potrebbe averlo risolto.
- I telefoni Pixel, tuttavia, devono ancora ricevere la patch di sicurezza.
Il blocco dello schermo Android, ovvero la funzionalità di blocco delle app, è una funzionalità elegante che consente agli utenti di bloccare app specifiche (tramite la panoramica delle app) sui propri schermi. Tuttavia, una recente vulnerabilità della sicurezza ha rivelato che questa funzione può mettere a rischio le tue carte di credito/debito se collegate a Google Wallet.
Un recente Ricerca su Github (attraverso 9to5Google) ha rivelato un possibile modo per collegare i dettagli della tua carta a Google Wallet tramite un lettore NFC generico (Flipper Zero, in questo caso). La scoperta suggerisce che ciò è dovuto a un errore logico nel codice quando il dispositivo si trova in modalità schermata di blocco – con il blocco dell’app abilitato – e l’NFC attivato. Il rischio è significativo poiché l'interazione dell'utente non è necessaria per questo sfruttamento.
Il membro di Github ha utilizzato un file Google Pixel 7 Pro con Blocco dell'app abilitato e "Richiedi pin prima di sbloccare" attivato. Almeno una carta deve essere collegata a Google Wallet. Inoltre, NFC deve essere abilitato con l'opzione "Sblocco dispositivo richiesto per NFC" consentita.
In questo stato, il telefono è vulnerabile poiché punta un POS (Flipper Zero in questo caso) sul retro del Pixel 7 Pro poteva leggere i dati della carta (inclusa la data di scadenza del numero della carta) registrata in Google Wallet.
Immagine 1 di 2
Ciò consente a chiunque disponga di un lettore NFC, come quello utilizzato nel video, di ottenere i dati della carta di qualcuno. L'utente di GitHub nota che se viene utilizzata una vera macchina POS, ci sarebbe un rischio maggiore che la tua carta subisca una transazione non autorizzata senza l'interazione dell'utente con il telefono.
Sebbene sia abbastanza improbabile che un utente finale esegua i passaggi sopra menzionati nell'uso quotidiano regolare, si tratta comunque di una vulnerabilità piuttosto notevole. Detto questo, Google è già a conoscenza di questo problema e i dispositivi Android con la patch di sicurezza di settembre 2023 dovrebbero essere al sicuro da questo sfruttamento.
Molti telefoni, come il Galassia S23 serie, stanno già ricevendo il Patch di settembre 2023, anche se Google deve ancora implementare la patch (o l'aggiornamento Android 14) sui suoi telefoni Pixel, incluso il recente Pixel7 serie.