В операційній системі Android виявлено вразливість, що дає змогу зловмисникам отримати доступ до всіх даних банківської картки користувача через багатофункціональні пристрої з підтримкою NFC. Зазначимо, що до таких пристроїв належить Flipper Zero, про який ми писали раніше.
Проблема отримала ідентифікатор CVE-2023−35 671 і зачіпає всі пристрої на Android версії 5.0 і вище.
Вразливість пов’язана з функцією «Screen Pinning» («Закріплення екрана»). У разі ввімкнення цієї функції для будь-якого застосунку, а також за умови активованих опцій «Запитувати PIN-код перед відкріпленням» і «Вимагати розблокування пристрою для NFC», дані банківської картки жертви можуть бути викрадені.
За наявності активного закріплення людина з відповідним зчитувачем NFC може отримати повні дані кредитної або дебетової картки, якщо вона прив’язана до Google Wallet жертви й налаштована для безконтактної оплати.
Зазначимо, що вразливість не дає змоги здійснювати платежі, однак надає хакерам доступ до даних прив’язаної картки, включно з її номером і терміном дії.
Попри дуже конкретні умови для реалізації та невеликий ризик використання вразливості у реальних атаках, Google вже відзначила баг як «серйозний» і розпочала роботу над усуненням проблеми.
Виправлення включено у патч безпеки за вересень 2023 року, однак його отримають тільки відносно свіжі версії системи, починаючи з Android 11. Патч вже доступний усім виробникам Android-смартфонів.
