Vad du behöver veta
- De senaste fynden har avslöjat ett kryphål i Android, särskilt med Google Wallet.
- Kort som är kopplade till plånboken riskerar att exponera sig själva om NFC- och apppinningsfunktioner är aktiverade.
- Google sägs vara medveten om problemet, och den senaste säkerhetskorrigeringen från september 2023 för Android-enheter kan ha löst det.
- Pixel-telefonerna har dock ännu inte fått säkerhetskorrigeringen.
Android-skärmfästning, alias appfästningsfunktion, är en snygg funktion som låter användare fästa specifika appar (via appöversikt) på sina skärmar. En säkerhetsrisk på senare tid har dock avslöjat att den här funktionen kan utsätta dina kredit-/betalkort i fara om de är länkade till din Google Wallet.
En nyligen Hitta Github (via 9to5Google) har avslöjat ett möjligt sätt att få dina kortuppgifter kopplade till Google Wallet genom en allmän NFC-läsare (Flipper Zero, i det här fallet). Fyndet tyder på att detta beror på ett logiskt fel i koden när enheten befinner sig i låsskärmsläge - med apppinning aktiverad - och NFC är påslagen. Risken är betydande eftersom användarinteraktion inte är nödvändig för detta utnyttjande.
Github-medlemmen använde en Google Pixel 7 Pro med App Pinning aktiverat och "Fråga om pin innan du lossar" aktiverat. Minst ett kort måste vara länkat till Google Wallet. Dessutom måste NFC vara aktiverat med alternativet "Obligatorisk enhetsupplåsning för NFC" tillåtet.
I det här läget är telefonen sårbar för att rikta en POS (Flipper Zero i det här fallet) på baksidan av Pixel 7 Pro kunde läsa kortets data (inklusive kortnumrets utgångsdatum) som registrerades i Google Wallet.
Bild 1 av 2
Detta gör det möjligt för alla med en NFC-läsare, som den som används i videon, att få någons kortinformation. GitHub-användaren noterar att om en riktig POS-maskin används, skulle det finnas en högre risk för att ditt kort genomgår en obehörig transaktion utan användarinteraktion med telefonen.
Även om det är ganska osannolikt att en slutanvändare går igenom de ovan nämnda stegen i vanlig daglig användning, är det fortfarande en ganska anmärkningsvärd sårbarhet. Som sagt, det är en som Google redan är medveten om, och Android-enheter som kör säkerhetskorrigeringen från september 2023 bör vara säkra från utnyttjandet.
Många telefoner, t.ex Galaxy S23 serien, tar redan emot September 2023 patch, även om Google ännu inte har lanserat patchen (eller Android 14-uppdateringen) till sina Pixel-telefoner, inklusive den senaste Pixel 7 serier.