Kas jums jāzina
- Jaunākie atklājumi ir atklājuši nepilnības operētājsistēmā Android, jo īpaši saistībā ar Google maku.
- Ja ir iespējotas NFC un lietotņu piespraušanas funkcijas, ar maku saistītās kartes var tikt atklātas.
- Tiek apgalvots, ka Google apzinās šo problēmu, un nesenais 2023. gada septembra drošības ielāps Android ierīcēm, iespējams, to ir novērsis.
- Tomēr Pixel tālruņiem vēl nav jāsaņem drošības ielāps.
Android ekrāna piespraušana jeb lietotņu piespraušanas funkcionalitāte ir lieliska funkcija, kas ļauj lietotājiem piespraust noteiktas lietotnes (izmantojot lietotņu pārskatu) savos ekrānos. Tomēr nesenā drošības ievainojamība atklāja, ka šī funkcija var apdraudēt jūsu kredītkartes/debetkartes, ja tā ir saistīta ar jūsu Google maku.
Nesens Github atrašana (caur 9to5Google) ir atklājis iespējamu veidu, kā saistīt kartes informāciju ar lietotni Google maks, izmantojot vispārējas nozīmes NFC lasītāju (šajā gadījumā Flipper Zero). Atklājums liecina, ka tas ir saistīts ar loģikas kļūdu kodā, kad ierīce atrodas bloķēšanas ekrāna režīmā (ar iespējotu lietotņu piespraušanu) un ir ieslēgts NFC. Risks ir ievērojams, jo lietotāja mijiedarbība šai izmantošanai nav nepieciešama.
Github dalībnieks izmantoja a Google Pixel 7 Pro ar Lietotņu piespraušana iespējota un ieslēgta opcija “Pieprasīt PIN pirms atspraušanas”. Vismaz vienai kartei ir jābūt saistītai ar Google maku. Turklāt ir jāiespējo NFC ar atļautu opciju “Nepieciešamā ierīces atbloķēšana NFC”.
Šādā stāvoklī tālrunis ir neaizsargāts, jo tas norāda uz POS (šajā gadījumā Flipper Zero) tālruņa aizmugurē. Pixel 7 Pro varēja nolasīt Google makā reģistrētās kartes datus (tostarp kartes numura derīguma termiņu).
1. attēls no 2
Tādējādi ikviens, kam ir NFC lasītājs, piemēram, videoklipā izmantotais, var iegūt kādas personas kartes informāciju. GitHub lietotājs atzīmē, ka, ja tiek izmantots īsts POS automāts, pastāv lielāks risks, ka jūsu karte var veikt neautorizētu darījumu bez lietotāja mijiedarbības ar tālruni.
Lai gan galalietotājs, veicot iepriekš minētās darbības, veicot regulāru ikdienas lietošanu, ir diezgan maz ticams, tā joprojām ir diezgan ievērojama ievainojamība. Tas nozīmē, ka Google jau zina par to, un Android ierīcēm, kurās darbojas 2023. gada septembra drošības ielāps, vajadzētu būt aizsargātām pret izmantošanu.
Daudzi tālruņi, piemēram, Galaxy S23 sērijas, jau saņem 2023. gada septembra ielāps, lai gan Google vēl nav izlaidusi ielāpu (vai Android 14 atjauninājumu) saviem Pixel tālruņiem, tostarp nesen Pixel 7 sērija.