Připínání obrazovky v systému Android je šikovná funkce, která uživatelům umožňuje připínat konkrétní aplikace (prostřednictvím přehledu aplikací) na obrazovku. Nedávná bezpečnostní chyba však odhalila, že tato funkce může ohrozit vaše platební karty, pokud jsou propojeny s peněženkou Google.
Nedávné zjištění odhalilo možný způsob, jak získat údaje o kartě propojené s peněženkou Google prostřednictvím univerzální čtečky NFC (v tomto případě Flipper Zero). Nález naznačuje, že je to způsobeno logickou chybou v kódu, když se zařízení nachází v režimu uzamčené obrazovky (s povoleným připínáním aplikací) a zapnutým NFC. Riziko je velké, protože k tomuto zneužití není nutná interakce uživatele.
Uživatel Githubu použil Google Pixel 7 Pro s povoleným připínáním aplikací a zapnutou funkcí „Zeptat se na připnutí před odepnutím“. Alespoň jedna karta musí být propojena s peněženkou Google. Kromě toho musí být povoleno NFC s povolenou možností „Vyžadovat odemknutí zařízení pro NFC“.
V tomto stavu je telefon zranitelný, protože namířením pokladního zařízení (v tomto případě Flipper Zero) na zadní stranu telefonu Pixel 7 Pro by bylo možné přečíst údaje karty (včetně data platnosti čísla karty), která byla zaregistrována v aplikaci Peněženka Google.
Díky tomu může kdokoli se čtečkou NFC, jako je ta použitá ve videu, získat informace o něčí kartě. Uživatel GitHubu poznamenává, že v případě použití skutečného pokladního zařízení by bylo vyšší riziko, že karta projde neoprávněnou transakcí bez interakce uživatele s telefonem.
I když je poměrně nepravděpodobné, že by koncový uživatel při běžném každodenním používání prošel výše uvedenými kroky, stále se jedná o docela pozoruhodnou zranitelnost. Přesto o ní společnost Google již ví a zařízení se systémem Android se záplatou zabezpečení ze září 2023 by měla být před zneužitím v bezpečí.
Mnoho telefonů, například řada Galaxy S23, již záplatu září 2023 dostává, ačkoli společnost Google tuto záplatu (nebo aktualizaci Android 14) na své telefony Pixel, včetně nedávné řady Pixel 7, teprve zavádí.
Zdroj: 9to5google, Gizmochina, redakce