Operacinėje sistemoje “Android” aptiktas pažeidžiamumas, leidžiantis įsilaužėliams gauti prieigą prie visų naudotojų banko kortelių duomenų per daugiafunkcinius įrenginius su NFC funkcija.
Įsilaužėliai gali pavogti vartotojų kredito kortelių duomenis
Problema identifikuota kaip CVE-2023-35 671 ir yra susijusi su visais “Android” įrenginiais, kuriuose veikia 5.0 ir naujesnės versijos “Android” sistemos.
Pažeidžiamumas susijęs su ekrano prisegimo funkcija. Jei ši funkcija įjungta bet kurioje programoje ir jei įjungtos parinktys “Request PIN before unlocking” ir “Require unlocking device for NFC”, galima pavogti aukos banko kortelės duomenis.
Jei prisegimo funkcija aktyvi, asmuo, turintis tinkamą NFC skaitytuvą, gali gauti visus kredito ar debeto kortelės duomenis, jei kortelė susieta su aukos “Google” pinigine ir nustatyta bekontakčiam mokėjimui.
Pažymėtina, kad dėl šio pažeidžiamumo negalima atlikti mokėjimų, tačiau įsilaužėliams suteikiama prieiga prie susietos kortelės duomenų, įskaitant jos numerį ir galiojimo datą.
Nepaisant labai specifinių įgyvendinimo sąlygų ir nedidelės pažeidžiamumo panaudojimo realiose atakose rizikos, “Google” jau pažymėjo šią klaidą kaip “rimtą” ir pradėjo dirbti ties problemos ištaisymu.
Ištaisymas įtrauktas į 2023 m. rugsėjo mėnesio saugumo pataisą, tačiau jį gaus tik palyginti naujausios sistemos versijos, pradedant “Android 11”. Pataisa jau prieinama visiems “Android” išmaniųjų telefonų gamintojams.