Se avete l’abitudine di pagare con il telefono, dovete prestare attenzione a un aspetto che può mettere a rischio le vostre carte.
Uno bug di Google Wallet (e di molte altre applicazioni, ma che contengono informazioni così sensibili), che colpisce gli smartphone con Android 5.0 e versioni successive, può mettere a rischio le informazioni delle carte di credito che ospita il servizio di pagamento dell’azienda. Google è già a conoscenza di questa vulnerabilità.
Se pagate con il telefono, fate attenzione a questo bug
Il bug, definito come CVE-2023-35671, è stato preso in carico da Google che ha incluso una correzione nell’aggiornamento di sicurezza di settembre 2023 per i dispositivi con Android 11 e versioni successive.
Quello che succede è che, per ora, questo aggiornamento di sicurezza di settembre è disponibile solo su alcuni smartphone sul mercato.
Quindi per ora, se volete evitare di mettere a rischio il vostro telefono e, più specificamente, i dati bancari, evitate di utilizzare Google Wallet, disabilitando o evitando la funzione Android che ha causato tutto: Pin to Screen.
È colpa di Google?
La vulnerabilità CVE-2023-35671 sfrutta un bug nello strumento Android Screen Pinning. Questa funzionalità – spesso trascurata – consente di aggiungere un’app alla schermata di blocco, fornendo un facile accesso ad essa senza sbloccare completamente il telefono.
Se si aggiunge un’app mentre sono abilitate le opzioni Richiedi PIN prima di sbloccare e Richiedi sblocco dispositivo per NFC, i dispositivi NFC utilizzati dai criminali informatici, come Flipper Zero, possono rubare i dettagli di qualsiasi carta di credito configurata nel wallet per i pagamenti contactless.
Ancora una volta, ci troviamo di fronte ad una falla di sicurezza. Pochissime persone utilizzano l’opzione di blocco, non perché non sia pratica, ma perché la maggior parte delle persone non la conosce. Inoltre, stiamo parlando di uno strumento disabilitato per impostazione predefinita.
Tuttavia, Android Police ha riferito che il problema potrebbe essere correlato a una modifica apportata al processo di controllo della sicurezza di Android.
Google Wallet – in genere – esegue un controllo del dispositivo utilizzando l’API di attestazione SafetyNet quando gli utenti provano ad effettuare un pagamento.
Questo controllo cerca cose che potrebbero rendere la trasmissione delle informazioni della carta estremamente rischiosa, come bootloader sbloccati. I telefoni che non superano il controllo visualizzano il pop-up che informa l’utente che il processo non può essere completato.
Non è la prima volta che si verifica una vulnerabilità simile, relativa a Google Wallet: pertanto, bisogna fare attenzione e utilizzare questa utile app, tenendo conto dei consigli forniti per non rischiare che i dati sensibili, legati alle carte di credito registrate all’interno del portafoglio elettronico, che ci permette di pagare ed effettuare transazioni nei negozi senza usare le carte fisiche.