Kolejna luka w Androidzie naraża nasze pieniądze

Użytkownicy Androida powinni jak najszybciej zaktualizować swoje smartfony. Najnowsza luka umożliwia bowiem nieautoryzowany dostęp do karty płatniczej w Portfelu Google.

Android już od dawna nie jest tak bezpiecznym systemem operacyjnym, jakbyśmy tego chcieli. Jeśli nie zagrażają nam zainfekowane przeróżnymi robakami aplikacje dostępne w Google Play, to sama platforma ma dziury, które zapewniają hakerom furtkę do naszych danych lub pieniędzy.

Haker dostanie się do naszej karty płatniczej

O jednej z najnowszych furtek pisze serwis GitHub, który donosi o błędzie oznaczonym numerem CVE-2023-35671. Na szczęście nie jest tak groźny jak można się spodziewać, gdyż działa tylko w określonych okolicznościach. Jeśli jednak zostaną spełnione pewne warunki, osoba nieuprawniona ma wówczas dostęp do informacji o naszej karcie płatniczej w aplikacji Portfel Google.

Bug ma związek z funkcją przypinania ekranu, obecną w Androidzie. Pod tą nazwą kryje się bardzo użyteczna opcja umożliwiająca zablokowanie dowolnej aplikacji na ekranie. Dzieki temu nie będzie można jej zamknąć lub zmienić na inną, bez wpisania PIN’u.

Gdy skorzystamy z tej funkcji i włączymy opcje „Pytaj o PIN przed odpięciem” oraz „Wymagaj odblokowania urządzenia dla NFC”, w wyniku luki w systemie, pojawia się wówczas możliwość uzyskania dostępu do danych karty płatniczej. Karta musi znajdować się w Portfelu Google i być skonfigurowana do płatności NFC. Gdy mamy wówczas odpowiedni czytnik NFC, możemy uzyskać jej dane, co widać na poniższym zdjęciu. Warto dodać, że luka nie pozwala na dokonywanie płatności. Ale już same ujawnienie danych karty, takich jak numer i data ważności, może być groźne.

Dobra wiadomość jest taka, że do wykorzystania luki, użytkownik musi korzystać z funkcji przypinania ekranu. Standardowo jest bowiem wyłączona i należy ją samodzielnie włączyć. Krótko mówiąc szansa na to, że ktoś przejmie dane naszej karty jest bardzo niska, niemniej istnieje.

Warto więc zainstalować w telefonie wrześniowy pakiet bezpieczeństwa, udostępniony dla systemu Android od wersji 11 do 13. Część osób używa jednak sprzętu, który utracił wsparcie producenta i nie dostaje już poprawek bezpieczeństwa. Wówczas najprostszą metodą ochrony przed atakiem jest wyłączenie funkcji przypinania ekranu.