Wat je moet weten
- Recente bevindingen hebben een maas in Android blootgelegd, vooral in Google Wallet.
- Kaarten die aan de portemonnee zijn gekoppeld, lopen het risico zichzelf bloot te stellen als de NFC- en app-pinfuncties zijn ingeschakeld.
- Er wordt gezegd dat Google op de hoogte is van het probleem, en de recente beveiligingspatch van september 2023 voor Android-apparaten heeft dit mogelijk opgelost.
- De Pixel-telefoons moeten de beveiligingspatch echter nog ontvangen.
Android-scherm vastzetten, ook wel app-vastzetten-functionaliteit genoemd, is een handige functie waarmee gebruikers specifieke apps (via het apps-overzicht) op hun scherm kunnen vastzetten. Uit een recent beveiligingsprobleem is echter gebleken dat deze functie uw creditcards/betaalkaarten in gevaar kan brengen als deze aan uw Google Wallet is gekoppeld.
Een recent Github-vinding (via 9to5Google) heeft een mogelijke manier onthuld om uw kaartgegevens aan Google Wallet te koppelen via een universele NFC-lezer (in dit geval Flipper Zero). De bevinding suggereert dat dit te wijten is aan een logische fout in de code wanneer het apparaat zich in de vergrendelschermmodus bevindt (met app-pinning ingeschakeld) en de NFC is ingeschakeld. Het risico is aanzienlijk omdat gebruikersinteractie voor deze exploitatie niet nodig is.
Het Github-lid gebruikte een Google Pixel 7 Pro met App vastzetten ingeschakeld en 'Vraag om pincode vóór losmaken' ingeschakeld. Er moet minimaal één kaart aan Google Wallet zijn gekoppeld. Bovendien moet NFC worden ingeschakeld en moet de optie "Vereiste apparaatontgrendeling voor NFC" zijn toegestaan.
In deze staat is de telefoon kwetsbaar omdat deze een POS (in dit geval Flipper Zero) naar de achterkant van de telefoon richt Pixel 7 Pro kon de kaartgegevens (inclusief de vervaldatum van het kaartnummer) lezen die in Google Wallet waren geregistreerd.
Afbeelding 1 van 2
Hierdoor is het voor iedereen met een NFC-lezer, zoals degene die in de video wordt gebruikt, mogelijk om iemands kaartgegevens te verkrijgen. De GitHub-gebruiker merkt op dat als er een echte POS-machine wordt gebruikt, er een groter risico bestaat dat uw kaart een ongeautoriseerde transactie ondergaat zonder gebruikersinteractie met de telefoon.
Hoewel het bij normaal dagelijks gebruik vrij onwaarschijnlijk is dat een eindgebruiker de bovengenoemde stappen doorloopt, is het nog steeds een behoorlijk opmerkelijke kwetsbaarheid. Dat gezegd hebbende, het is er een waar Google al van op de hoogte is, en Android-apparaten met de beveiligingspatch van september 2023 zouden veilig moeten zijn voor deze uitbuiting.
Veel telefoons, zoals de Melkwegstelsel S23 serie, ontvangen al de September 2023-patch, hoewel Google de patch (of de Android 14-update) nog moet uitrollen naar zijn Pixel-telefoons, inclusief de recente Pixel 7 serie.