La fijación de pantalla de Android, también conocida como funcionalidad de fijación de aplicaciones, es una característica ingeniosa que permite a los usuarios fijar aplicaciones específicas (a través de la descripción general de aplicaciones) en sus pantallas. Sin embargo, una vulnerabilidad de seguridad reciente ha revelado que esta característica puede poner en riesgo sus tarjetas de crédito / débito si está vinculada a su billetera de Google.
Un reciente Github encontrando (a través de 9to5Google) ha revelado una posible forma de vincular los detalles de su tarjeta a Google Wallet a través de un lector de NFC de uso general (Flipper Zero, en este caso). El hallazgo sugiere que esto se debe a un error lógico en el código cuando el dispositivo reside en el modo de pantalla de bloqueo con la fijación de la aplicación habilitada y el NFC activado. El riesgo es significativo ya que la interacción del usuario no es necesaria para esta explotación.
El miembro de Github usó un Google Pixel 7 Pro con Pinchazo de aplicaciones habilitado y «Pregunte por Pin antes de desangrar» activado. Al menos una tarjeta debe estar vinculada a Google Wallet. Además, NFC debe habilitarse con la opción «Desbloqueo de dispositivo requerido para NFC» permitida.
En este estado, el teléfono es vulnerable ya que apunta un POS (Flipper Zero en este caso) en la parte posterior del Pixel 7 Pro podría leer los datos de la tarjeta (incluyendo la fecha de vencimiento del número de tarjeta) que se registró en Google Wallet.
Esto hace posible que cualquier persona con un lector de NFC, como el que se usa en el video, obtenga la información de la tarjeta de alguien. El usuario de GitHub señala que, si se usa una máquina POS real, habría un mayor riesgo de que su tarjeta se someta a una transacción no autorizada sin la interacción del usuario con el teléfono.
Si bien un usuario final que pasa por los pasos antes mencionados en el uso regular del día a día es bastante improbable, sigue siendo una vulnerabilidad bastante notable. Dicho esto, es uno que Google ya conoce, y los dispositivos Android que ejecutan el parche de seguridad de septiembre de 2023 deberían estar a salvo de la explotación.
Muchos teléfonos, como el Galaxy S23 serie, ya están recibiendo el Parche de septiembre de 2023, aunque Google aún no ha lanzado el parche (o la actualización de Android 14) a sus teléfonos Pixel, incluido el reciente Pixel 7 serie.