Σφάλμα του Google Wallet αποκαλύπτει στοιχεία πιστωτικής κάρτας σε συσκευές NFC

[Nagata]

Ένα πολύ περίεργο σφάλμα εντοπίστηκε στην εφαρμογή Google Wallet και επηρεάζει smartphone με Android 5.0 ή νεότερες εκδόσεις, με συνεπακόλουθο να διαρρέουν στοιχεία της πιστωτικής σας κάρτας υπό πολύ συγκεκριμένες συνθήκες. Η Google γνωρίζει αυτήν την ευπάθεια (CVE-2023-35671) και μια επιδιόρθωση περιλαμβάνεται στην ενημέρωση ασφαλείας του Σεπτεμβρίου 2023 για συσκευές με Android 11 και μεταγενέστερες εκδόσεις. Κατεβάστε απευθείας λοιπόν εάν δείτε διαθέσιμη για λήψη αυτή την νέα ενημέρωση αν και μπορείτε να αποφύγετε την εκμετάλλευση του Google Wallet απενεργοποιώντας ή αποφεύγοντας μια συγκεκριμένη λειτουργία Android: Screen Pinning.

Όπως καταδεικνύεται από τον MrTiz στο GitHub και στο YouTube, η ευπάθεια CVE-2023-35671 οφείλεται σε ένα κενό στο εργαλείο Screen Pinning του Android. Αυτή η δυνατότητα που συχνά παραβλέπεται σάς επιτρέπει να καρφιτσώσετε μια εφαρμογή στην οθόνη κλειδώματος, παρέχοντας εύκολη πρόσβαση στην εφαρμογή χωρίς να αφήνετε το τηλέφωνό σας εντελώς ξεκλείδωτο. Ωστόσο, εάν καρφιτσώσετε μια εφαρμογή ενώ είναι ενεργοποιημένες οι επιλογές “ζητήστε τον κωδικό PIN πριν το ξεκαρφίτσωμα” και “απαιτείται ξεκλείδωμα συσκευής για NFC”, οι συσκευές NFC όπως το Flipper Zero μπορούν να διαγράψουν τις λεπτομέρειες για οποιαδήποτε πιστωτική κάρτα έχετε ρυθμίσει για ανέπαφες πληρωμές στο Google Wallet.

Φυσικά εδώ να πούμε πως και πάλι είναι ένα πολύ συγκεκριμένο σύνολο περιστάσεων. Πολύ λίγοι άνθρωποι χρησιμοποιούν το λεγόμενο Screen Pinning, καθώς η δυνατότητα είναι απενεργοποιημένη από προεπιλογή. Δεν υπάρχουν τεκμηριωμένα παραδείγματα αυτής της εκμετάλλευσης και ακόμη κι αν ανήκετε στη μικρή ομάδα ατόμων που θα μπορούσαν να επηρεαστούν, θα χρειαστεί να κουνήσετε το τηλέφωνό σας γύρω από μια συσκευή NFC ενώ μια εφαρμογή είναι καρφιτσωμένη στην οθόνη κλειδώματος. Τα βήματα για την αποφυγή αυτού του exploit είναι πολύ απλά—απενεργοποιήστε το Screen Pinning ή ξεκαρφιτσώστε οποιαδήποτε εφαρμογή υπάρχει στην οθόνη κλειδώματος πριν επιχειρήσετε να πραγματοποιήσετε μια ανέπαφη πληρωμή. Εάν έχετε ενεργοποιημένη την επιλογή “απαιτείται ξεκλείδωμα συσκευής για NFC”, ίσως έχετε ήδη τη συνήθεια να το κάνετε αυτό.

Επιλογές όπως το Google Pay εξακολουθούν να είναι πιο ασφαλείς από τη χρήση μιας φυσικής πιστωτικής κάρτας, η οποία μπορεί να σαρωθεί ή να απομακρυνθεί με δεκάδες διαφορετικούς τρόπους. Το Google Pay δεν αποκαλύπτει κανένα από τα στοιχεία της πιστωτικής σας κάρτας κατά την πραγματοποίηση πληρωμών, καθώς βασίζεται σε προσωρινά “εικονικά διακριτικά” που μπορούν να χρεωθούν μόνο μία φορά. Η εκμετάλλευση CVE-2023-35671, η οποία μπορεί να αποκαλύψει πληροφορίες πιστωτικής κάρτας, είναι μια απροσδόκητη εξαίρεση που προκαλείται από ένα πολύ συγκεκριμένο σφάλμα.

[via]

back to the Article