Bug Google Wallet yang aneh, yang memengaruhi ponsel cerdas yang menjalankan Android 5.0 dan lebih tinggi, dapat mengungkap detail kartu kredit Anda dalam keadaan yang sangat spesifik. Google menyadari kerentanan ini (CVE-2023-35671), dan perbaikan disertakan dalam pembaruan keamanan September 2023 untuk perangkat yang menjalankan Android 11 dan lebih baru. Pada saat penulisan, pembaruan keamanan September 2023 hanya tersedia di ponsel cerdas tertentu (tidak termasuk ponsel Pixel, anehnya), meskipun Anda dapat menghindari eksploitasi Google Wallet dengan menonaktifkan atau menghindari fitur Android tertentu: Penyematan Layar.
Seperti yang ditunjukkan oleh MrTiz di GitHub dan YouTube, kerentanan CVE-2023-35671 disebabkan oleh celah pada alat Penyematan Layar Android. Fitur yang sering diabaikan ini memungkinkan Anda menyematkan aplikasi ke layar kunci, memberikan akses mudah ke aplikasi tanpa membiarkan ponsel Anda sepenuhnya tidak terkunci. Namun jika Anda menyematkan aplikasi saat opsi “minta PIN sebelum melepas pin” dan “wajibkan buka kunci perangkat untuk NFC” diaktifkan, perangkat NFC seperti Flipper Zero dapat membaca sekilas detail kartu kredit apa pun yang telah Anda siapkan untuk pembayaran nirsentuh di Google Wallet.
Sekali lagi, ini adalah keadaan yang sangat spesifik. Sangat sedikit orang yang menggunakan Penyematan Layar, karena fitur ini dinonaktifkan secara default. Tidak ada contoh terdokumentasi mengenai eksploitasi ini di alam liar, dan bahkan jika Anda termasuk dalam kelompok kecil orang yang mungkin terkena dampaknya, Anda perlu melambaikan ponsel Anda di sekitar perangkat NFC saat aplikasi disematkan ke layar kunci Anda. Langkah-langkah untuk menghindari eksploitasi ini sangat mudah—nonaktifkan Penyematan Layar, atau lepas sematan aplikasi apa pun di layar kunci Anda sebelum mencoba melakukan pembayaran nirsentuh. Jika Anda mengaktifkan opsi “wajibkan buka kunci perangkat untuk NFC”, Anda mungkin sudah terbiasa melakukan hal ini.
Opsi seperti Google Pay masih lebih aman daripada menggunakan kartu kredit fisik, yang dapat dipindai atau dibaca dalam lusinan cara berbeda. cara. Google Pay tidak mengungkapkan detail kartu kredit Anda saat melakukan pembayaran, karena bergantung pada “token virtual” sementara yang hanya dapat ditagih satu kali. Eksploitasi CVE-2023-35671, yang dapat mengungkapkan informasi kartu kredit, merupakan pengecualian tak terduga yang disebabkan oleh bug yang sangat tertentu.
Untuk menegaskan kembali, Google mengetahui eksploitasi ini dan menyertakan patch dalam pembaruan keamanan September 2023. Pembaruan ini tersedia untuk semua merek Android, meskipun produsen bertanggung jawab atas peluncurannya. Teman kami di 9to5Google mencatat bahwa pembaruan September 2023 sudah ada di beberapa ponsel Samsung, meskipun karena alasan yang aneh, pembaruan tersebut belum ada di jajaran Google Pixel.
Sumber: MrTiz melalui 9to5Google