Ne bilmek istiyorsun
- Son bulgular Android'de, özellikle de Google Cüzdan'da bir boşluk ortaya çıkardı.
- M-cüzdana bağlı kartlar, NFC ve Uygulama sabitleme özellikleri etkinleştirildiğinde kendilerini açığa çıkarma riski taşır.
- Google'ın sorunun farkında olduğu söyleniyor ve Android cihazlara yönelik son Eylül 2023 güvenlik yaması sorunu çözmüş olabilir.
- Ancak Pixel telefonlar henüz güvenlik yamasını almadı.
Android ekran sabitleme, diğer bir deyişle uygulama sabitleme işlevi, kullanıcıların belirli uygulamaları (uygulamalara genel bakış aracılığıyla) ekranlarına sabitlemelerine olanak tanıyan şık bir özelliktir. Ancak yakın zamanda ortaya çıkan bir güvenlik açığı, bu özelliğin Google Cüzdan'ınıza bağlanması durumunda kredi/banka kartlarınızı riske atabileceğini ortaya çıkardı.
Yakın zamanda Github bulma (aracılığıyla 9to5Google), genel amaçlı bir NFC okuyucu (bu durumda Flipper Zero) aracılığıyla kart ayrıntılarınızı Google Cüzdan'a bağlamanın olası bir yolunu ortaya çıkardı. Bulgular, bunun, cihaz kilit ekranı modunda (uygulama sabitleme etkinken) ve NFC açıkken bulunduğunda koddaki bir mantık hatasından kaynaklandığını öne sürüyor. Bu istismar için kullanıcı etkileşimi gerekli olmadığından risk önemlidir.
Github üyesi şunu kullandı: Google Piksel 7 Pro ile Uygulama Sabitleme etkin ve "Sabitlemeyi kaldırmadan önce Pin İste" seçeneği açık. En az bir kartın Google Cüzdan'a bağlı olması gerekir. Ek olarak, NFC'nin "NFC için cihazın kilidini açması gerekli" seçeneğine izin verilerek etkinleştirilmesi gerekir.
Bu durumda, telefon, arka tarafa bir POS (bu durumda Flipper Zero) işaret ettiğinden savunmasızdır. Piksel 7 Pro Google Cüzdan'da kayıtlı kart verilerini (kart numarasının son kullanma tarihi dahil) okuyabilir.
Resim 1 / 2
Bu, videoda kullanılana benzer bir NFC okuyucusu olan herkesin birinin kart bilgilerini almasını mümkün kılar. GitHub kullanıcısı, gerçek bir POS makinesi kullanılırsa, kullanıcının telefonla etkileşimi olmadan kartınızın yetkisiz bir işlem gerçekleştirme riskinin daha yüksek olacağını belirtiyor.
Bir son kullanıcının yukarıda belirtilen adımları normal günlük kullanımda gerçekleştirmesi pek olası olmasa da, bu yine de oldukça dikkate değer bir güvenlik açığıdır. Bununla birlikte, bu Google'ın zaten bildiği bir durumdur ve Eylül 2023 güvenlik düzeltme ekini çalıştıran Android cihazların bu istismara karşı güvende olması gerekir.
Birçok telefon, örneğin Galaksi S23 serisi zaten alıyor Eylül 2023 yamasıGoogle, yamayı (veya Android 14 güncellemesini) Pixel telefonlarına henüz sunmamış olsa da, son güncellemeler de dahil Piksel 7 seri.