Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
È stata scoperta una vulnerabilità nel sistema operativo Android che consente l’accesso ai dati completi delle carte bancarie tramite dispositivi multifunzione abilitati NFC come Flipper Zero.
Il problema è stato identificato come CVE-2023-35671 e interessa tutti i dispositivi con Android 5.0 e versioni successive.
La vulnerabilità è legata alla funzione “Screen Pinning”. Quando questa funzione è abilitata per qualsiasi applicazione, anche se sono attivate le opzioni “Richiedi codice PIN prima di sbloccare” e “Richiedi sblocco dispositivo per NFC”, i dati della carta bancaria della vittima possono essere rubati.
L’opzione “Blocco schermo” è necessaria per fissare lo schermo dello smartphone su un’applicazione specifica, senza la possibilità di minimizzarlo. Ciò è necessario, ad esempio, per trasferire temporaneamente il dispositivo a un’altra persona (amico, parente) ed essere sicuri che non avvierà nessun’altra applicazione e non violerà la tua privacy.
Quindi, in caso di pinning attivo, una persona dotata di un lettore NFC idoneo può ricevere tutti i dettagli di una carta di credito o debito se questa è collegata al Google Wallet della vittima e configurata per il pagamento contactless.
Allo stesso tempo, è sufficiente collegare semplicemente il gadget degli hacker a un dispositivo vulnerabile, senza la necessità di inserire una password, che di solito è richiesta in questi casi.
Va notato che la vulnerabilità non consente di effettuare pagamenti, ma fornisce l’accesso ai dati della carta collegata, compreso il suo numero e la data di scadenza, che possono essere utili anche a un potenziale aggressore.
Nonostante le condizioni molto specifiche per l’implementazione e il piccolo rischio di utilizzo in attacchi reali, Google ha già contrassegnato la vulnerabilità come “grave” e ha iniziato a risolvere il problema.
La correzione è inclusa nella patch di sicurezza di settembre 2023, ma la riceveranno solo le versioni relativamente recenti del sistema, a partire da Android 11.
La patch è già disponibile per tutti i produttori di smartphone Android, che, ciascuno con i propri ritmi, hanno ha iniziato a distribuirlo sui dispositivi supportati.
Ma i dispositivi che eseguono versioni precedenti di Android, o quelli il cui supporto è stato ufficialmente interrotto dal produttore, non riceveranno una patch di sicurezza. Pertanto, l’unica soluzione al problema potrebbe essere non utilizzare la funzione “Blocco schermo”.
