Ein seltsamer Google Wallet-Fehler, der Smartphones mit Android 5.0 und höher betrifft, kann unter ganz bestimmten Umständen Ihre Kreditkartendaten offenlegen. Google ist sich dieser Sicherheitslücke (CVE-2023-35671) bewusst und im Sicherheitsupdate vom September 2023 für Geräte mit Android 11 und höher ist ein Fix enthalten. Zum Zeitpunkt des Schreibens ist das Sicherheitsupdate vom September 2023 nur auf ausgewählten Smartphones verfügbar (seltsamerweise mit Ausnahme von Pixel-Telefonen), obwohl Sie den Google Wallet-Exploit vermeiden können, indem Sie eine bestimmte Android-Funktion deaktivieren oder vermeiden: Bildschirmfixierung.
Wie MrTiz auf GitHub und YouTube demonstriert, ist die Sicherheitslücke CVE-2023-35671 auf eine Lücke im Screen Pinning-Tool von Android zurückzuführen. Mit dieser oft übersehenen Funktion können Sie eine App an Ihren Sperrbildschirm anheften und so einfach auf die App zugreifen, ohne dass Ihr Telefon vollständig entsperrt sein muss. Wenn Sie jedoch eine App anheften, während die Optionen „Vor dem Lösen nach PIN fragen“ und „Geräteentsperrung für NFC erforderlich“ aktiviert sind, können NFC-Geräte wie der Flipper Zero die Details der Kreditkarte auslesen, die Sie für kontaktlose Zahlungen in Google Wallet eingerichtet haben.
Auch hier handelt es sich um einen sehr speziellen Fall. Nur sehr wenige Menschen verwenden die Bildschirmfixierung, da die Funktion standardmäßig deaktiviert ist. Es gibt keine dokumentierten Beispiele für diesen Exploit in freier Wildbahn, und selbst wenn Sie zu der kleinen Gruppe von Menschen gehören, die betroffen sein könnten, müssten Sie Ihr Telefon in der Nähe eines NFC-Geräts hin und her bewegen, während eine App an Ihren Sperrbildschirm angeheftet ist. Die Schritte zur Vermeidung dieses Exploits sind sehr einfach: Deaktivieren Sie die Bildschirmfixierung oder lösen Sie die App auf Ihrem Sperrbildschirm, bevor Sie versuchen, eine kontaktlose Zahlung vorzunehmen. Wenn Sie die Option „Geräteentsperrung für NFC erforderlich“ aktiviert haben, tun Sie dies möglicherweise bereits.
Optionen wie Google Pay sind immer noch sicherer als die Verwendung einer physischen Kreditkarte, die auf Dutzende verschiedene Arten gescannt oder ausgelesen werden kann. Google Pay gibt beim Bezahlen keine Ihrer Kreditkartendaten preis, da es auf temporären „virtuellen Token“ basiert, die nur einmal belastet werden können. Der Exploit CVE-2023-35671, der Kreditkarteninformationen preisgeben kann, ist eine unerwartete Ausnahme, die durch einen ganz bestimmten Fehler verursacht wird.
Um es noch einmal zu wiederholen: Google ist sich dieses Exploits bewusst und hat einen Patch in das Sicherheitsupdate vom September 2023 aufgenommen. Das Update ist für alle Android-Marken verfügbar, allerdings sind die Hersteller für die Einführung verantwortlich. Unsere Freunde bei 9to5Google weisen darauf hin, dass das Update vom September 2023 bereits auf mehreren Samsung-Telefonen verfügbar ist, aus irgendeinem seltsamen Grund jedoch noch nicht auf Googles Pixel-Reihe.
Quelle: MrTiz via 9to5Google
Leave a Reply
You must be logged in to post a comment.