Hva du trenger å vite
- Nylige funn har avslørt et smutthull i Android, spesielt med Google Wallet.
- Kort knyttet til lommeboken risikerer å eksponere seg selv hvis NFC- og app-pinningsfunksjoner er aktivert.
- Google sies å være klar over problemet, og den nylige sikkerhetsoppdateringen fra september 2023 for Android-enheter kan ha løst det.
- Pixel-telefonene har imidlertid ennå ikke mottatt sikkerhetsoppdateringen.
Android-skjermfesting, også kjent som app-pinningsfunksjonalitet, er en kjekk funksjon som lar brukere feste spesifikke apper (via appoversikt) på skjermene deres. Et nylig sikkerhetsproblem har imidlertid avslørt at denne funksjonen kan sette kreditt-/debetkortene dine i fare hvis de er koblet til Google Wallet.
En nylig Github-funn (via 9to5Google) har avslørt en mulig måte å få kortdetaljene dine knyttet til Google Wallet gjennom en generell NFC-leser (Flipper Zero, i dette tilfellet). Funnet antyder at dette skyldes en logisk feil i koden når enheten er i låseskjermmodus - med app-pinning aktivert - og NFC er slått på. Risikoen er betydelig ettersom brukerinteraksjon ikke er nødvendig for denne utnyttelsen.
Github-medlemmet brukte en Google Pixel 7 Pro med App-festing aktivert og «Spør om pin før du løsner» slått på. Minst ett kort må være koblet til Google Wallet. I tillegg må NFC være aktivert med alternativet "Påkrevd enhetslås for NFC" tillatt.
I denne tilstanden er telefonen sårbar for å peke en POS (Flipper Zero i dette tilfellet) på baksiden av Pixel 7 Pro kunne lese kortets data (inkludert kortnummerets utløpsdato) som ble registrert i Google Wallet.
Bilde 1 av 2
Dette gjør det mulig for alle med en NFC-leser, som den som brukes i videoen, å få tak i noens kortinformasjon. GitHub-brukeren bemerker at hvis en ekte POS-maskin brukes, vil det være en høyere risiko for at kortet ditt gjennomgår en uautorisert transaksjon uten brukerinteraksjon med telefonen.
Selv om en sluttbruker som går gjennom de nevnte trinnene i vanlig daglig bruk er ganske usannsynlig, er det fortsatt en ganske bemerkelsesverdig sårbarhet. Når det er sagt, er det en Google allerede er klar over, og Android-enheter som kjører sikkerhetsoppdateringen fra september 2023 skal være sikret mot utnyttelse.
Mange telefoner, som f.eks Galaxy S23 serien, mottar allerede September 2023-oppdatering, selv om Google ennå ikke har lansert oppdateringen (eller Android 14-oppdateringen) til Pixel-telefonene, inkludert de nylige Pixel 7 serie.