Zařízení Flipper Zero už znáte z našeho nedávného článku, v němž jsme vám ukázali, jak může tato krabička zahltit displeje blízkých iPhonů nesmyslnými notifikace. Tento „švýcarský nožík elektrohackera“ však ukázal i na díru v Androidu, a ne ledajakou. Přes NFC totiž bylo možné dostat z telefonu informace o uložené platební kartě! Google už chybě udělil označení CVE-2023-35671 a urychleně chystá jej opravu.
Bezpečnostní díra je v současné době u všech Androidů od verze 5.0 a výše, a má souvislosti s „připnutím“ aplikace na displej. Pokud je navíc aktivní funkce „Zadat PIN před odepnutím aplikace“ a telefon před placením přes NFC požaduje odemknutí, vytvoří se bezpečnostní díra, přes kterou mohou útočníci zjistit všechny detaily vaši platební karty, která je uložena v aplikaci Peněženka Google. Stačí jen použít zmiňovaný Flipper Zero se speciálním softwarem, který z telefonu vytáhne a zobrazí detaily vaší platební karty.

Flipper Zero dokáže z Androidu vytáhnout detaily uložené platební karty! Naštěstí jen při kombinaci několika nastavení. Google tuto díru opraví v zářijové aktualizace zabezpečení (Zdroj: Github)
Protože je pro otevření zadních vrátek potřeba souhra několika nastavení, je velmi nepravděpodobné, že by tuto zranitelnost někdo zneužil. Díra v systému však existuje, a Google ji opraví v rámci zářijové aktualizace zabezpečení. Pokud používáte starší Android, na který se už záplaty nedostávají (nebo jen velmi pomalu), stačí vám jen deaktivovat připínání aplikací. Učiníte tak přes Nastavení - Zabezpečení a soukromí - Další nastavení zabezpečení - Připnout aplikaci. Tato funkce naštěstí není aktivní od prvního nastavení telefonu, takže je pravděpodobné, že tuto funkci máte na svém Androidu vypnutou.
Zdroj: Github