Funkce připínání aplikací systému Android je šikovný způsob, jak uživatelům prostřednictvím přehledu aplikací umožnit mít po ruce konkrétní výběr na obrazovce telefonu. Nedávno odhalená bezpečnostní chyba však ukázala, že tato může ohrozit platební karty, pakliže jsou propojeny s peněženkou Google.
Poměrně čerstvé zjištění na Githubu, o kterém informoval server 9to5Google, odhalilo možný způsob, jak získat údaje o kartě propojené s peněženkou Google pomocí univerzální čtečky NFC, konkrétně Flipper Zero. Nález naznačuje, že je to způsobeno logickou chybou v kódu, když se zařízení nachází v režimu uzamčené obrazovky, s povoleným připínáním aplikací a zapnutým NFC. Riziko rozhodně není zanedbatelné, jelikož k tomuto zneužití není nutná interakce uživatele.
Člen Githubu použil zařízení Google Pixel 7 Pro s povoleným připínáním aplikací a zapnutou funkcí „Zeptat se na PIN před odepnutím“. Aby se chyba projevila, musí být alespoň jedna karta propojena s Peněženkou Google a povoleno NFC s volbou „Vyžadovat odemknutí zařízení pro NFC“. V tomto stavu je telefon zranitelný. Namíření zařízení, jako je zmíněné Flipper Zero, na zadní stranu telefonu Pixel 7 Pro, může zpřístupnit přečtení údajů karty, která byla zaregistrována v aplikaci Peněženka Google, včetně jejího čísla a data platnosti.
Existuje tedy nebezpečí, že kdokoli se čtečkou NFC, podobné té ve videu výše, by mohl získat informace o něčí kartě. Uživatel GitHubu poznamenává, že v případě použití skutečného pokladního zařízení by bylo vyšší riziko, že karta projde neoprávněnou transakcí bez interakce uživatele s telefonem.
Fotogalerie
Jedná se o poměrně pozoruhodnou zranitelnost, důležité však je, že o ní společnost Google již ví a zařízení se systémem Android s aktualizací zabezpečení ze září 2023 by měla před tímto možným zneužitím být v bezpečí. Pokud tedy čekáte na její instalaci, určitě s ní neváhejte.
Mohlo by vás zajímat
Mnoho telefonů, jako například řada Galaxy S23, již zářijovou záplatu dostává, ačkoli ji společnost Google do svých telefonů Pixel teprve zavádí.
Akceptaci karet jsem řešil. Co jsem pochopil, stejně tam jsou virtuální čísla. I kdyby se ke kartě při zamknutém telefonu někdo dostal, bez znalosti klíčů je mu tahle informace k ničemu, protože nedokáže potvrdit transakci. Může jenom potvrdit jednu (případně více), když bude telefon v dosahu jeho krabičky. Je to potencionální zranitelnost, ale její praktické využití je diskutabilní.
aha tak budu od ted hlidat hajzliky s takovou cteckou aby si nahodou nevykoukal muj zustatek 446kc :o))) a jak bylo receno, na cisle karty ktera fyzicky neexistuje.. to je zas plaseni… at to zalataj jako dycky a je klid. Oni zas prijdou na kvanta chyb do budoucna kdy tahle bude vypadat jako uplne neskodna…
Ono asi není úplně nejhorší zjištění čísla, sice si umím představit zneužití, ale na hraně reálnosti. Buď chybí cvv, nebo jméno.
Ale vada je, že bez uzardění vydá informací pro zamčené telefonu, což je i proto podmínkám aktivace karty v telefonu – vynucení zámku obrazovky, aby se MUSELO odemknout před placením… ergo průšvih vůči bankám, kvůli poměrně obskurní funkci.
A tam, kde chybí jméno, ke to stejně karta virtuální, a tak, kde cvv… k ty virtuální kartě vlastně možná ani cvv fakticky není? Jen na začátku pro jejím vytvoření, aby vznikla, ale vlastní už nemá?