Недавняя уязвимость Google Кошелька может раскрыть информацию о кредитной карте

  • Недавние исследования выявили лазейку в Android, особенно в Google Wallet.
  • Карты, привязанные к кошельку, рискуют оказаться незащищенными, если включены функции NFC и закрепления приложений.
  • Сообщается, что Google знает об этой проблеме, и недавний патч безопасности для устройств Android от сентября 2023 года, возможно, исправил ее.
  • Однако телефоны Pixel еще не получили исправление безопасности.

Закрепление экрана Android, также известное как функция закрепления приложений, — это изящная функция, которая позволяет пользователям закреплять определенные приложения (через обзор приложений) на своих экранах. Однако недавняя уязвимость безопасности показала, что эта функция может подвергнуть риску ваши кредитные/дебетовые карты, если они связаны с вашим Google Кошельком.

Недавнее открытие Github (через 9to5Google) выявило возможный способ связать данные вашей карты с Google Кошельком через универсальный NFC-ридер (в данном случае Flipper Zero). Результаты показывают, что это связано с логической ошибкой в ​​коде, когда устройство находится в режиме экрана блокировки (с включенным закреплением приложения) и включенным NFC. Риск значителен, поскольку для этой эксплуатации не требуется взаимодействие с пользователем.

Участник Github использовал Google Pixel 7 Pro с включенным закреплением приложений и включенной функцией «Запрашивать PIN-код перед откреплением». Хотя бы одна карта должна быть привязана к Google Кошельку. Кроме того, необходимо включить NFC с разрешенной опцией «Требуется разблокировка устройства для NFC».

В этом состоянии телефон уязвим, поскольку наведение POS (в данном случае Flipper Zero) на задней панели Pixel 7 Pro может считать данные карты (включая дату истечения срока действия номера карты), зарегистрированные в Google Wallet.

Это позволяет любому, у кого есть считыватель NFC, подобный тому, который используется в видео, получить данные чьей-либо карты. Пользователь GitHub отмечает, что если используется настоящий POS-терминал, существует более высокий риск того, что ваша карта подвергнется несанкционированной транзакции без взаимодействия пользователя с телефоном.

Хотя конечный пользователь, проходящий вышеупомянутые этапы при обычном повседневном использовании, весьма маловероятен, это все же довольно заметная уязвимость. Тем не менее, Google уже знает об этом, и устройства Android, на которых установлено исправление безопасности от сентября 2023 года, должны быть защищены от этой атаки.

Многие телефоны, такие как серия Galaxy S23, уже получают патч от сентября 2023 года, хотя Google еще не выпустила патч (или обновление Android 14) на свои телефоны Pixel, включая недавнюю серию Pixel 7.

Смотрите также

2023-09-15 19:55