O que você precisa saber
- Descobertas recentes revelaram uma lacuna no Android, especialmente no Google Wallet.
- Os cartões vinculados à carteira correm o risco de se expor se os recursos de NFC e fixação de aplicativos estiverem ativados.
- Diz-se que o Google está ciente do problema, e o recente patch de segurança de setembro de 2023 para dispositivos Android pode tê-lo corrigido.
- Os telefones Pixel, entretanto, ainda não receberam o patch de segurança.
A fixação de tela do Android, também conhecida como funcionalidade de fixação de aplicativos, é um recurso interessante que permite aos usuários fixar aplicativos específicos (por meio da visão geral dos aplicativos) em suas telas. No entanto, uma vulnerabilidade de segurança recente revelou que esse recurso pode colocar em risco seus cartões de crédito/débito se vinculados à sua Carteira virtual do Google.
Um recente Descoberta do Github (através da 9to5Google) revelou uma possível maneira de vincular os dados do seu cartão à Carteira virtual do Google por meio de um leitor NFC de uso geral (Flipper Zero, neste caso). A descoberta sugere que isso se deve a um erro lógico no código quando o dispositivo reside no modo de tela de bloqueio – com a fixação do aplicativo ativada – e o NFC ativado. O risco é significativo porque a interação do usuário não é necessária para esta exploração.
O membro do Github usou um Google Pixel 7 Pro com Fixação de aplicativos ativado e "Solicitar PIN antes de soltar" ativado. Pelo menos um cartão deve estar vinculado à Carteira virtual do Google. Além disso, o NFC deve estar habilitado com a opção "Desbloqueio de dispositivo necessário para NFC" permitida.
Neste estado, o telefone fica vulnerável ao apontar um POS (Flipper Zero neste caso) na parte de trás do Pixel 7 Pro poderia ler os dados do cartão (incluindo a data de validade do número do cartão) que foi registrado na Carteira virtual do Google.
Imagem 1 de 2
Isso possibilita que qualquer pessoa com um leitor NFC, como o usado no vídeo, obtenha as informações do cartão de alguém. O usuário do GitHub observa que se uma máquina POS real for usada, haveria um risco maior de seu cartão passar por uma transação não autorizada sem a interação do usuário com o telefone.
Embora seja bastante improvável que um usuário final siga as etapas mencionadas acima no uso diário regular, ainda é uma vulnerabilidade bastante notável. Dito isso, o Google já conhece, e os dispositivos Android que executam o patch de segurança de setembro de 2023 devem estar protegidos contra exploração.
Muitos telefones, como o Galáxia S23 série, já estão recebendo o Atualização de setembro de 2023, embora o Google ainda não tenha lançado o patch (ou atualização do Android 14) para seus telefones Pixel, incluindo o recente Pixel 7 Series.