Guardamos muitas informações sensíveis nos nossos smartphones, pelo que a segurança é fundamental. Uma lacuna no Android, no entanto, permite o acesso a dados de cartões de crédito com o hardware NFC correto. No entanto a Google está ativamente a fornecer uma correção.
Android: cuidado se usa NFC e tem um cartão de crédito associado
Conforme detalhado no GitHub, um problema de segurança que recebeu o código CVE-2023-35671 afecta os dispositivos Android e permite o acesso a detalhes completos de cartões de crédito através de dispositivos NFC.
O problema afeta todos os dispositivos Android com Android 5.0 e superior. Na prática é uma lacuna que está relacionada com a ferramenta “Screen Pinning” do Android. Lembro que permite aos utilizadores bloquear uma aplicação no ecrã até ser introduzido um PIN. Quando o Screen Pinning está ativado a falha pode expor as informações do cartão de crédito. Para tal, é necessário que a Google Wallet esteja a alojar um cartão de crédito/débito configurado para pagamentos NFC em lojas.
Nestas condições, alguém com uma ferramenta de leitura NFC adequada pode acionar um telemóvel Android bloqueado para divulgar os dados completos do cartão de crédito com um toque. A falha não permite efetuar pagamentos, mas expõe os dados completos do cartão de crédito, como mostra o vídeo de prova de conceito abaixo.
Dadas as circunstâncias muito específicas em que isto acontece, é muito improvável que alguém tenha tido problemas com isto, mas não deixa de ser uma lacuna muito preocupante. Felizmente, o Google já está ciente do problema e classificou a questão como de “alta” gravidade. A correção está incluída no patch de segurança de setembro de 2023 para as versões 11 a 13 do Android.
Se estiver num dispositivo que já não tem updates então tem mesmo de ter muito cuidado com os pagamentos NFC.
O patch de segurança de setembro de 2023 está atualmente disponível para todos os fabricantes Android. De facto a Samsung já lançou a atualização para muitos dispositivos. Esperava-se também que os dispositivos Google Pixel recebessem o patch com o Android 14, mas isso foi inesperadamente adiado.
