Оно што треба да знате
- Недавна открића су открила рупу у Андроиду, посебно са Гоогле новчаником.
- Картице повезане са новчаником ризикују да се изложе ако су НФЦ и функције закачења апликација омогућене.
- Речено је да је Гоогле свестан проблема, а недавна безбедносна закрпа за Андроид уређаје из септембра 2023. можда га је решила.
- Пикел телефони, међутим, тек треба да добију безбедносну закрпу.
Качење Андроид екрана, познато и као функција закачења апликација, је одлична функција која омогућава корисницима да закаче одређене апликације (преко прегледа апликација) на своје екране. Међутим, недавна безбедносна рањивост је открила да ова функција може да угрози ваше кредитне/дебитне картице ако су повезане са вашим Гоогле новчаником.
Недавна Гитхуб налаз (преко 9то5Гоогле) је открио могући начин да се детаљи ваше картице повежу са Гоогле новчаником преко НФЦ читача опште намене (Флиппер Зеро, у овом случају). Откриће сугерише да је то због логичке грешке у коду када се уређај налази у режиму закључаног екрана — са омогућеним причвршћивањем апликације — и укљученим НФЦ. Ризик је значајан јер интеракција корисника није неопходна за ову експлоатацију.
Члан Гитхуб-а је користио а Гоогле Пикел 7 Про са Качење апликације омогућено и укључено „Тражи ПИН пре откачивања“. Најмање једна картица мора да буде повезана са Гоогле новчаником. Поред тога, НФЦ мора бити омогућен са дозвољеном опцијом „Потребно откључавање уређаја за НФЦ“.
У овом стању, телефон је рањив јер усмерава ПОС (Флиппер Зеро у овом случају) на полеђину Пикел 7 Про могао да прочита податке картице (укључујући датум истека броја картице) који су регистровани у Гоогле новчанику.
Слика 1 од 2
Ово омогућава свакоме ко има НФЦ читач, попут оног који се користи у видео снимку, да добије информације о нечијој картици. Корисник ГитХуб-а напомиње да ако се користи права ПОС машина, постоји већи ризик да ваша картица буде подвргнута неовлашћеној трансакцији без интеракције корисника са телефоном.
Иако је мало вероватно да крајњи корисник пролази кроз горепоменуте кораке у редовној свакодневној употреби, то је и даље прилично приметна рањивост. Уз то, Гоогле је већ свестан тога, а Андроид уређаји који користе безбедносну закрпу из септембра 2023. требало би да буду безбедни од експлоатације.
Многи телефони, као што су Галаки С23 серије, већ примају Закрпа за септембар 2023, иако Гоогле тек треба да уведе закрпу (или ажурирање за Андроид 14) на своје Пикел телефоне, укључујући недавне Пикел 7 серије.