В операционной системе Android обнаружена уязвимость , позволяющая получить доступ к полным данным банковской карты через многофункциональные устройства с поддержкой NFC, такие как Flipper Zero. Проблема получила идентификатор CVE-2023-35671 и затрагивает все устройства на Android 5.0 и выше.
Уязвимость связана с функцией ” Screen Pinning ” (“Закрепление экрана”). При включении данной функции для любого приложения, а также при условии активированных опций “Запрашивать PIN-код перед откреплением” и “Требовать разблокировки устройства для NFC”, данные банковской карты жертвы могут быть похищены.
Опция “Закрепление экрана” необходима для того, чтобы зафиксировать экран смартфона на одном конкретном приложении, без возможности свернуть его. Это нужно, например, чтобы на время передать устройство другому человеку (другу, родственнику) и быть уверенным в том, что он не запустит любое другое приложение и не нарушит вашу приватность.
Так вот, при наличии активного закрепления человек с подходящим считывателем NFC может получить полные данные кредитной или дебетовой карты, если она привязана в Google Wallet жертвы и настроена для бесконтактной оплаты. При этом к уязвимому устройству достаточно просто приложить хакерский гаджет, без необходимости ввода пароля, который обычно обязательно запрашивается в таких случаях.
Следует отметить, что уязвимость не позволяет совершать платежи, однако предоставляет доступ к данным привязанной карты, включая её номер и срок действия, что тоже может пригодиться потенциальному злоумышленнику.
Несмотря на очень конкретные условия для реализации и небольшой риск использования в реальных атаках, Google уже отметила уязвимость как “серьёзную” и приступила к решению проблемы.
Исправление включено в патч безопасности за сентябрь 2023 года , однако его получат только относительно свежие версии системы, начиная с Android 11. Патч уже доступен всем производителям Android-смартфонов, которые, каждый в своём темпе, приступили к его развёртыванию на поддерживаемые устройства.
А вот устройствам, работающим на устаревших версиях Android, или тем, чья поддержка официально прекращена производителем, – не светит получения патча безопасности. Поэтому единственным решением проблемы может стать лишь полный отказ от использования функции “Закрепление экрана”.