Le carte di credito sui sistemi Android sono a rischio. Scoperta una grave falla di sicurezza

È stata scoperta una vulnerabilità nel sistema operativo Android che consente l’accesso ai dati completi delle carte bancarie tramite dispositivi multifunzione abilitati NFC come Flipper Zero. 

Il problema è stato identificato come CVE-2023-35671 e interessa tutti i dispositivi con Android 5.0 e versioni successive.

La vulnerabilità è legata alla funzione “Screen Pinning”. Quando questa funzione è abilitata per qualsiasi applicazione, anche se sono attivate le opzioni “Richiedi codice PIN prima di sbloccare” e “Richiedi sblocco dispositivo per NFC”, i dati della carta bancaria della vittima possono essere rubati.

L’opzione “Blocco schermo” è necessaria per fissare lo schermo dello smartphone su un’applicazione specifica, senza la possibilità di minimizzarlo. Ciò è necessario, ad esempio, per trasferire temporaneamente il dispositivo a un’altra persona (amico, parente) ed essere sicuri che non avvierà nessun’altra applicazione e non violerà la tua privacy.

Quindi, in caso di pinning attivo, una persona dotata di un lettore NFC idoneo può ricevere tutti i dettagli di una carta di credito o debito se questa è collegata al Google Wallet della vittima e configurata per il pagamento contactless. 

Allo stesso tempo, è sufficiente collegare semplicemente il gadget degli hacker a un dispositivo vulnerabile, senza la necessità di inserire una password, che di solito è richiesta in questi casi.

Va notato che la vulnerabilità non consente di effettuare pagamenti, ma fornisce l’accesso ai dati della carta collegata, compreso il suo numero e la data di scadenza, che possono essere utili anche a un potenziale aggressore.

Nonostante le condizioni molto specifiche per l’implementazione e il piccolo rischio di utilizzo in attacchi reali, Google ha già contrassegnato la vulnerabilità come “grave” e ha iniziato a risolvere il problema.

La correzione è inclusa nella patch di sicurezza di settembre 2023, ma la riceveranno solo le versioni relativamente recenti del sistema, a partire da Android 11.

La patch è già disponibile per tutti i produttori di smartphone Android, che, ciascuno con i propri ritmi, hanno ha iniziato a distribuirlo sui dispositivi supportati.

Ma i dispositivi che eseguono versioni precedenti di Android, o quelli il cui supporto è stato ufficialmente interrotto dal produttore, non riceveranno una patch di sicurezza. Pertanto, l’unica soluzione al problema potrebbe essere non utilizzare la funzione “Blocco schermo”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.