Kaj morate vedeti
- Nedavne ugotovitve so razkrile vrzel v sistemu Android, zlasti pri Google Denarnici.
- Kartice, povezane z denarnico, tvegajo, da se bodo izpostavile, če sta omogočeni funkciji NFC in pripenjanje aplikacij.
- Google naj bi se zavedal težave in nedavni varnostni popravek iz septembra 2023 za naprave Android bi jo morda odpravil.
- Vendar pa telefoni Pixel še niso prejeli varnostnega popravka.
Pripenjanje zaslona Android, imenovano tudi funkcija pripenjanja aplikacij, je odlična funkcija, ki uporabnikom omogoča pripenjanje določenih aplikacij (prek pregleda aplikacij) na svoje zaslone. Vendar pa je nedavna varnostna ranljivost pokazala, da lahko ta funkcija ogrozi vaše kreditne/debetne kartice, če je povezana z vašo Google Denarnico.
Nedavna Najdba Github (prek 9to5Google) je razkril možen način za povezavo podatkov o kartici z Google Denarnico prek bralnika NFC za splošne namene (v tem primeru Flipper Zero). Ugotovitev kaže, da je to posledica logične napake v kodi, ko je naprava v načinu zaklenjenega zaslona - z omogočenim pripenjanjem aplikacij - in je NFC vklopljen. Tveganje je veliko, saj za to izkoriščanje ni potrebna interakcija uporabnika.
Član Githuba je uporabil a Google Pixel 7 Pro z Pripenjanje aplikacije omogočeno in možnost »Vprašaj za PIN pred odpenjanjem« je vklopljena. Vsaj ena kartica mora biti povezana z Google Denarnico. Poleg tega mora biti NFC omogočen z dovoljeno možnostjo »Zahtevano odklepanje naprave za NFC«.
V tem stanju je telefon ranljiv, saj kaže POS (v tem primeru Flipper Zero) na zadnji strani Pixel 7 Pro je lahko prebral podatke kartice (vključno z datumom poteka številke kartice), ki je bila registrirana v Google Denarnici.
Slika 1 od 2
To omogoča vsakomur, ki ima čitalnik NFC, kot je ta, uporabljen v videoposnetku, pridobiti podatke o kartici nekoga. Uporabnik GitHub ugotavlja, da če se uporablja pravi POS stroj, obstaja večje tveganje, da bo vaša kartica podvržena nepooblaščeni transakciji brez interakcije uporabnika s telefonom.
Čeprav je malo verjetno, da bi končni uporabnik šel skozi zgoraj omenjene korake pri redni vsakodnevni uporabi, je to še vedno precej opazna ranljivost. Kljub temu je Google že seznanjen s tem, naprave Android, ki uporabljajo varnostni popravek iz septembra 2023, pa bi morale biti varne pred izkoriščanjem.
Mnogi telefoni, kot je Galaxy S23 serije, že prejemajo Popravek iz septembra 2023, čeprav Google še ni uvedel popravka (ali posodobitve za Android 14) na svojih telefonih Pixel, vključno z nedavnim Pixel 7 serije.