日前 Github 開發者 MrTiz 發現了一項 Google Wallet 的嚴重漏洞,用戶加入到 Google Wallet 的銀行卡或信用咭資料,原來只要利用 NFC 裝置,就有可能遭到讀取。幸好 Google 在知悉問題後已經表示,將會在稍後推出的 9 月份 Android 保安更新中作出修正。
根據 MrTiz 的影片示範,Android 手機用戶只要有使用程式釘選(Screen Pinning)功能,都有機會利用名叫 Flipper Zero 的 NFC 裝置,讀取用戶登錄到 Google Wallet 的銀行卡和信用卡資料。一般情況下,不法分子無法單靠卡號碼就能完成交易,因為通常店家都需要消費者出示實體卡,而網購則要求輸入密碼,但相信用戶都不想自己的卡資料被盜。
Google 表示已經將修正此漏洞排在最高優先次序,並且會在 Android 11、12 和 13 的 9 月保安更新中作出修正。在更新尚未提供的時候,用戶可以在 Settings 頁面將 Security & Privacy > More security & privacy > App Pinning 的功能暫時關閉。
資料及圖片來源:chromeunboxed