- 13,845
- 20
- 8 Ноя 2022
Попадаете ли вы в зону риска и можно ли себя как-то обезопасить?
В операционной системе Android Для просмотра ссылки Войдиили Зарегистрируйся , позволяющая получить доступ к полным данным банковской карты через многофункциональные устройства с поддержкой NFC , такие как Flipper Zero . Проблема получила идентификатор Для просмотра ссылки Войди или Зарегистрируйся и затрагивает все устройства на Android 5.0 и выше.
Уязвимость связана с функцией « Для просмотра ссылки Войдиили Зарегистрируйся » («Закрепление экрана»). При включении данной функции для любого приложения, а также при условии активированных опций «Запрашивать PIN-код перед откреплением» и «Требовать разблокировки устройства для NFC», данные банковской карты жертвы могут быть похищены.
Опция «Закрепление экрана» необходима для того, чтобы зафиксировать экран смартфона на одном конкретном приложении, без возможности свернуть его. Это нужно, например, чтобы на время передать устройство другому человеку (другу, родственнику) и быть уверенным в том, что он не запустит любое другое приложение и не нарушит вашу приватность.
Так вот, при наличии активного закрепления человек с подходящим считывателем NFC может получить полные данные кредитной или дебетовой карты, если она привязана в Google Wallet жертвы и настроена для бесконтактной оплаты. При этом к уязвимому устройству достаточно просто приложить хакерский гаджет, без необходимости ввода пароля, который обычно обязательно запрашивается в таких случаях.
<iframe width="640" height="360" src="
" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen="" title="CVE-2023-35671 - Android App Pin Security Issue Allowing Unauthorized Payments via Google Wallet"> </iframe>
Следует отметить, что уязвимость не позволяет совершать платежи, однако предоставляет доступ к данным привязанной карты, включая её номер и срок действия, что тоже может пригодиться потенциальному злоумышленнику.
Несмотря на очень конкретные условия для реализации и небольшой риск использования в реальных атаках, Google уже отметила уязвимость как «серьёзную» и приступила к решению проблемы.
Исправление включено в Для просмотра ссылки Войдиили Зарегистрируйся , однако его получат только относительно свежие версии системы, начиная с Android 11. Патч уже доступен всем производителям Android-смартфонов, которые, каждый в своём темпе, приступили к его развёртыванию на поддерживаемых устройствах.
А вот устройствам, работающим на устаревших версиях Android, или тем, чья поддержка официально прекращена производителем, — не светит получения патча безопасности. Поэтому единственным решением проблемы может стать лишь полный отказ от использования функции «Закрепление экрана».
В операционной системе Android Для просмотра ссылки Войди
Уязвимость связана с функцией « Для просмотра ссылки Войди
Опция «Закрепление экрана» необходима для того, чтобы зафиксировать экран смартфона на одном конкретном приложении, без возможности свернуть его. Это нужно, например, чтобы на время передать устройство другому человеку (другу, родственнику) и быть уверенным в том, что он не запустит любое другое приложение и не нарушит вашу приватность.
Так вот, при наличии активного закрепления человек с подходящим считывателем NFC может получить полные данные кредитной или дебетовой карты, если она привязана в Google Wallet жертвы и настроена для бесконтактной оплаты. При этом к уязвимому устройству достаточно просто приложить хакерский гаджет, без необходимости ввода пароля, который обычно обязательно запрашивается в таких случаях.
<iframe width="640" height="360" src="
Следует отметить, что уязвимость не позволяет совершать платежи, однако предоставляет доступ к данным привязанной карты, включая её номер и срок действия, что тоже может пригодиться потенциальному злоумышленнику.
Несмотря на очень конкретные условия для реализации и небольшой риск использования в реальных атаках, Google уже отметила уязвимость как «серьёзную» и приступила к решению проблемы.
Исправление включено в Для просмотра ссылки Войди
А вот устройствам, работающим на устаревших версиях Android, или тем, чья поддержка официально прекращена производителем, — не светит получения патча безопасности. Поэтому единственным решением проблемы может стать лишь полный отказ от использования функции «Закрепление экрана».
- Источник новости
- www.securitylab.ru
