É stato scoperto un problema di sicurezza che potenzialmente potrebbe permettere ad un malintenzionato di rubare i dati della nostra carta di credito salvata su Google Wallet attraverso un dispositivo NFC (es.: Flipper Zero).
Identificata come CVE-2023-35671, la falla riguarda gli smartphone con installato Android 5 e versioni successive ed è correlata a Blocco app su schermo, funzione che permette di mantenere visibile un'app finché questa non viene sbloccata. Se vengono attivate:
- Usa Blocco app su schermo
- Richiedi il PIN per lo sblocco
- Richiedi sblocco del dispositivo per NFC,
la falla è in grado potenzialmente di esporre le informazioni della carta di credito su Wallet (che a sua volta deve essere stata attivata per i pagamenti NFC).
A questo punto un malintenzionato in possesso di un lettore NFC potrebbe essere in grado di rubare i dati della carta di credito anche se lo smartphone è bloccato. A quanto pare il rischio è solo il furto dei dati, l'utilizzo della carta per effettuare pagamenti sembra essere scongiurato.
Google è a conoscenza della falla e ha previsto un fix descritto nel bollettino sulla sicurezza Android di settembre 2023. Alcuni smartphone sono già stati aggiornati (v. Samsung), altri no (v. Pixel).