携帯電話にはプライバシーを危険にさらす可能性のある大量の個人データが保存されているため、携帯電話のセキュリティは常に非常に重要な側面です。それだけでなく、クレジット カードの詳細など、悪用される可能性のある銀行情報も保管します。
Google ウォレットやSamsung Payなどの主要な支払いプラットフォームには、データを保護するための保護手段が組み込まれていますが、同時に、これらの障壁を乗り越えようとする多くのハッカーの憧れの的でもあります。現在、Android の調整に伴い、有名な Flipper Zero がGoogle の支払いプラットフォームに対する主な脅威となっています。
Flipper Zero は脆弱性を利用して銀行情報を取得します
9to5Google で読んだとおり、Android の脆弱性により、ユーザーはGoogle ウォレットにリンクされたクレジット カードのデータを知ることができますが、Google はすでにこのソフトウェアの抜け穴を修正するために取り組んでいます。この有名なガジェットを使用すると、アプリの実行中に NFC を使用するだけで簡単に銀行情報を盗むことができます。
リポジトリ Web サイトである GitHub の詳細情報によると、 CVE-2023-35671とラベル付けされた局地的なセキュリティ問題は、Google のオペレーティング システムを実行している多くのデバイスに影響を与えます。この判決はGoogleウォレットの悪用を認めているが、決済プラットフォームに責任はない。
実際、このセキュリティ問題の原因は 「画面固定」オプションにあります。これは、それぞれのロック解除 PIN コードが入力されるまで画面上のアプリをロックできる Android 機能です。確かに3 つの条件を満たす必要がある、または次のようなオプションを有効にする必要があります。
- 「画面固定」が有効になっている
- 「固定を解除する前に PIN を要求する」オプションも有効になっていること
- 「NFC を使用するにはデバイスのロックを解除する必要がある」が再び有効になります
これら 3 つの設定を正しく有効にすると、バージョン 5.0 以降の Android は脆弱性に対して安全ではなくなります。暴露された状況を考慮すると、Flipper Zero などの NFC ツールを使用する犯罪者は、タップするだけでデバイスにカード データを提供させることができます。
確かにこの方法ではハッカーが直接支払いを行うことはできませんが、カードデータを入手すればどの店舗でも自由に使用できるようになるでしょう。一方、この脆弱性には、携帯電話を所有するだけでなく、誰かが意図を持っている必要があるため、この脆弱性の影響を受ける可能性は低いですが、それでも非常に憂慮すべきことです。
幸いなことに、検索大手はすでにこの問題の解決策を開発中です。実際、同社はこの問題を「深刻」と評価しているため、次のセキュリティパッチでその穴はカバーされる予定だ。具体的には、脆弱性が修正されるのは 9 月のパッチとなるため、あまり長く待つ必要はありません。
私たちの場合、サポート対象外のデバイスがあり、セキュリティ パッチを受け取っていない場合は、「画面の固定」オプションを無効にするのが理想的です。逆に、モバイルが更新され続ける場合は、前述のパッチが適用されるまで待つのが最善です。 Android では、デフォルトではセキュリティ ホールの原因となる機能が有効になっていないため、手動で有効にしていなくても安全であることに注意してください。
現在、 2023 年 9 月のセキュリティ パッチが利用可能になり、携帯電話が Android 14 への必要なアップデートを受信するのを待つだけです。Samsung、Google、OnePlus の両方がこのパッチの展開に近づいています。この問題は、少なくともメジャー アップデートの対象として選択されたデバイスでは、今後数週間以内に解消される予定です。
経由 | 9to5Google