Rò rỉ lỗi Pinning ứng dụng Android kỳ lạ có thể gây mất thông tin thẻ tín dụng

Một lỗ hổng lạ và rất cụ thể với công cụ ‘App Pinning’ trên Android có thể cho phép ai đó tiếp cận được thông tin chi tiết về thẻ tín dụng lưu trữ trên thiết bị.

Lỗ hổng này, cùng với một bằng chứng mô phỏng, đã được nêu chi tiết trên GitHub (qua 9to5Google). Vấn đề này ảnh hưởng đến tất cả các thiết bị Android chạy phiên bản 5.0 trở lên.

Công cụ App Pinning của Android, cho phép người dùng khóa một ứng dụng trên màn hình điện thoại của họ cho đến khi nhập mã PIN, là trung tâm của lỗ hổng. Khi tính năng này được bật, nó cũng kích hoạt một tùy chọn yêu cầu mở khóa thiết bị cho NFC. Kết hợp với người dùng đã cài đặt thẻ tín dụng hoặc thẻ ghi nợ để thanh toán NFC trong cửa hàng với Google Wallet, tạo ra một lỗi hở mà có thể tiềm tàng tiết lộ thông tin thẻ.

Với những điều kiện trên, ai đó có công cụ đọc NFC, chẳng hạn như Flipper Zero, có thể kích hoạt một chiếc điện thoại Android bị khóa để chia sẻ thông tin thẻ tín dụng đầy đủ qua NFC chỉ với một lần chạm. Tuy nhiên, lỗi hở này không cho phép thực hiện thanh toán.

Google đã nhận ra vấn đề này và bao gồm một bản vá trong bản vá bảo mật tháng 9 năm 2023 cho các phiên bản Android từ 11 đến 13. Rất tiếc, những người dùng với các phiên bản Android cũ hơn hoặc thiết bị không còn nhận các bản cập nhật bảo mật có thể vẫn tiếp tục bị lộ lỗ hổng này.

Đáng lưu ý, tuy nhiên, có một số thành phần di chuyển trong vấn đề bảo mật này và người dùng có thể thực hiện các biện pháp để giảm thiểu rủi ro của mình. Đầu tiên, vô hiệu hóa tính năng Pin màn hình sẽ cung cấp đủ bảo vệ. Pin màn hình mặc định đã tắt trên Android, vì vậy nếu bạn chưa bật nó lên, bạn có thể đã an toàn.

Pin màn hình có thể bị tắt bằng cách vào Cài đặt > Bảo mật & quyền riêng tư > Bảo mật & quyền riêng tư nâng cao > App pinning. (Lưu ý rằng vị trí chính xác có thể khác nhau tùy thuộc vào tùy chỉnh của nhà sản xuất hoặc phiên bản Android. Bạn cũng có thể sử dụng chức năng tìm kiếm ứng dụng Cài đặt để tìm thấy nó.)

Nguồn: GitHub Theo: 9to5Google

A strange and very specific flaw with Android’s ‘App Pinning’ tool could allow someone to gain access to full credit card details stored on a device.

The flaw, along with a proof-of-concept, was detailed on GitHub (via 9to5Google). The issue affects all Android devices running version 5.0 or later.

Android’s App Pinning tool, which lets users lock an app on their phone’s screen unless a PIN is entered, is at the heart of the flaw. When the feature is turned on, it also enables an option that requires device unlock for NFC. That, combined with the user having a credit or debit card set up for in-store NFC payments with Google Wallet, creates a loophole that could potentially expose the card information.

With the above conditions met, someone with an NFC reader tool, such as the Flipper Zero, can trigger a locked Android phone to share full credit card details via NFC with just a tap. The loophole doesn’t allow for payments to be made, however.

Google has already acknowledged the issue and included a fix with the September 2023 security patch for Android versions 11 through 13. Unfortunately, people with devices on older versions of Android or devices that no longer get security updates may remain exposed to the flaw.

It’s worth noting, however, that there are several moving pieces to the security issue and people can take steps to mitigate their risk. First, disabling the Screen Pinning feature should provide ample protection. Screen Pinning is turned off by default on Android, so if you’ve never turned it on, you’re likely already safe.

Screen Pinning can be disabled by going to Settings > Security & privacy > More security & privacy > App pinning. (Note that the exact location may differ depending on manufacturer customizations or Android version. You can also use the Settings app search function to find it.)

Source: GitHub Via: 9to5Google