На наших смартфонах хранится много конфиденциальной информации, поэтому безопасность имеет ключевое значение. Однако уязвимость в Android с помощью соответствующего NFC-оборудования позволяла получить доступ к данным кредитных карт, но Google уже работает над исправлением.
Как подробно описано на GitHub, проблема безопасности под кодом CVE-2023-35671 затрагивает устройства Android и позволяет получить доступ к полным данным кредитных карт через NFC-устройства, такие как популярный инструмент Flipper Zero.
Проблема, которая затрагивает все устройства Android с версией Android 5.0 и выше, связана с функцией Android «Закрепление экрана» (Screen Pinning), которая позволяет пользователям заблокировать приложение на экране до ввода PIN-кода. Когда закрепление экрана включено, опция «Запрашивать PIN-код перед снятием закрепления» включена, а также «Требовать разблокировку устройства для NFC», эта уязвимость *может* раскрыть информацию о вашей кредитной карте. Для этого в Google Wallet должна быть добавлена кредитная/дебетовая карта, настроенная для бесконтактных платежей в магазинах.
При таких условиях злоумышленник с соответствующим NFC-ридером может заставить заблокированный телефон Android раскрыть полные данные кредитной карты одним касанием. Уязвимость не позволяет совершать платежи, но раскрывает полные данные кредитной карты, как показано в демонстрационном видео ниже.
Учитывая очень специфические обстоятельства, при которых это происходит, крайне маловероятно, что кто-то столкнулся с проблемами из-за этого, но, тем не менее, это очень тревожная уязвимость. К счастью, Google уже знает о проблеме и присвоил ей «высокую» степень серьезности. Исправление включено в исправление безопасности от сентября 2023 года для версий Android с 11 по 13.
Если вы используете устройство, которое больше не получает исправления безопасности, или находитесь на старой версии Android, предотвратить проблему можно, просто отключив функцию «Закрепление экрана» в меню настроек вашего устройства.
Важно отметить, что «Закрепление экрана» не включено по умолчанию.
Исправление безопасности от сентября 2023 года в настоящее время доступно всем производителям Android-устройств, при этом Samsung уже начала развертывание обновления для многих устройств. Ожидалось, что устройства Google Pixel получат исправление с Android 14, но его выпуск неожиданно задержался.