قد يؤدي خطأ غريب في محفظة Google Wallet، يؤثر على الهواتف الذكية التي تعمل بنظام Android 5.0 وما فوق، إلى الكشف عن تفاصيل بطاقتك الائتمانية في ظل مجموعة محددة للغاية من الظروف. تدرك Google هذه الثغرة الأمنية (CVE-2023-35671)، وتم تضمين إصلاح لها في تحديث الأمان لشهر سبتمبر 2023 للأجهزة التي تعمل بنظام Android 11 وما بعده. في وقت كتابة هذا التقرير، لا يتوفر تحديث الأمان لشهر سبتمبر 2023 إلا على هواتف ذكية محددة (باستثناء هواتف Pixel، وهو أمر غريب بما فيه الكفاية)، على الرغم من أنه يمكنك تجنب ثغرة Google Wallet عن طريق تعطيل أو تجنب ميزة معينة في Android: تثبيت الشاشة.
كما أوضح السيد تيز على جيثب و يوتيوب، يرجع سبب ثغرة CVE-2023-35671 إلى ثغرة في أداة تثبيت الشاشة في نظام أندرويد. تتيح لك هذه الميزة التي غالبًا ما يتم التغاضي عنها تثبيت تطبيق على شاشة القفل، مما يوفر وصولاً سهلاً إلى التطبيق دون ترك هاتفك مفتوحًا تمامًا. ولكن إذا قمت بتثبيت تطبيق أثناء تمكين خياري “اطلب رقم التعريف الشخصي قبل إلغاء التثبيت” و”طلب إلغاء قفل الجهاز لـ NFC”، فيمكن لأجهزة NFC مثل Flipper Zero أن تسرق تفاصيل أي بطاقة ائتمان قمت بإعدادها للدفع بدون تلامس في محفظة Google.
مرة أخرى، هذه مجموعة محددة للغاية من الظروف. يستخدم عدد قليل جدًا من الأشخاص ميزة تثبيت الشاشة، حيث يتم تعطيل الميزة افتراضيًا. لا توجد أمثلة موثقة لهذه الثغرة في الواقع، وحتى إذا كنت ضمن المجموعة الصغيرة من الأشخاص الذين يستخدمون هذه الميزة، استطاع لتجنب هذه المشكلة، ستحتاج إلى تحريك هاتفك حول جهاز NFC أثناء تثبيت أحد التطبيقات على شاشة القفل. الخطوات لتجنب هذه المشكلة بسيطة للغاية – قم بتعطيل ميزة تثبيت الشاشة، أو إلغاء تثبيت أي تطبيق على شاشة القفل قبل محاولة إجراء عملية دفع بدون تلامس. إذا قمت بتمكين خيار “طلب إلغاء قفل الجهاز لتقنية NFC”، فقد تكون معتادًا بالفعل على القيام بذلك.
لا تزال خيارات مثل Google Pay أكثر أمانًا من استخدام بطاقة ائتمان مادية، والتي يمكن مسحها ضوئيًا أو قراءتها بعشرات الطرق المختلفة. لا يعرض Google Pay أيًا من تفاصيل بطاقتك الائتمانية عند إجراء المدفوعات، لأنه يعتمد على “رموز افتراضية” مؤقتة لا يمكن تحصيلها إلا مرة واحدة. يعد الاستغلال CVE-2023-35671، الذي يمكنه الكشف عن معلومات بطاقة الائتمان، استثناءً غير متوقع ناتج عن خطأ خاص جدًا.
للتأكيد، تدرك Google هذا الاستغلال وتضمنت تصحيحًا في تحديث الأمان لشهر سبتمبر 2023. التحديث متاح لجميع ماركات Android، على الرغم من أن الشركات المصنعة مسؤولة عن طرحه. أصدقاؤنا في 9 إلى 5 جوجل لاحظ أن تحديث سبتمبر 2023 متوفر بالفعل على العديد من هواتف Samsung، ولكن لسبب غريب، فهو غير متوفر على تشكيلة Pixel من Google حتى الآن.
مصدر: السيد تيز عبر 9 إلى 5 جوجل