Un extraño fallo en Google Wallet (y a muchas otras aplicaciones, pero no que contengan información tan sensible), que afecta a los smartphones que ejecutan Android 5.0 en adelante, puede poner en peligro todos los detalles de las tarjetas de crédito que tengas alojadas en el servicio de pago de la compañía. La buena noticia es que Google ya está al tanto de esta vulnerabilidad.
El fallo, registrado como CVE-2023-35671, va a ser corregido con una solución que Google ha incluido en la actualización de seguridad de septiembre de 2023 para dispositivos que ejecutan Android 11 y versiones posteriores. Lo que sucede es que, por ahora, esta actualización de seguridad de septiembre de solo está disponible en algunos smartphones del mercado, muy poco, pues ni supiera los teléfonos Pixel de la compañía lo han recibido, curiosamente.
Por ello, de momento, si lo que quieres es evitar poner tu teléfono, y más concretamente, tus datos bancarios, en riesgo, puedes evitar el exploit de Google Wallet desactivando o evitando la característica de Android que lo ha provocado todo: Fijar en pantalla.
La culpa es de Google
Como demostró MrTiz en GitHub y en el video de YouTube que te dejamos bajo estas líneas, la vulnerabilidad CVE-2023-35671 se aprovecha de un fallo en la herramienta Screen Pinning de Android. Esta característica, a menudo pasada por alto, te permite anclar una aplicación a tu pantalla de bloqueo, proporcionando un fácil acceso a la misma sin dejar tu teléfono completamente desbloqueado. Lo que sucede es que, si anclas una aplicación mientras las opciones ‘pedir PIN antes de desanclar’ y ‘requerir desbloqueo del dispositivo para NFC’ están habilitadas, dispositivos NFC muy usados por los ciberdelincuentes, como Flipper Zero, pueden obtener los detalles de cualquier tarjeta de crédito que hayas configurado para realizar pagos sin contacto en Google Wallet.
De nuevo, estamos ante un fallo de seguridad que no puede aprovechar cualquiera y que requiere de que se junten una serie de circunstancias para poder explotarlo al máximo. Muy pocas personas usan la opción de fijar en pantalla, no porque no sea práctica, sino porque la mayoría la desconoce. Además, hablamos de una herramienta que está desactivada por defecto.
Si cumples los requisitos para habilitar esta vulnerabilidad, aun así, tendrías que tener tu teléfono alrededor de un dispositivo NFC mientras la aplicación de Google Wallet está anclada a tu pantalla de bloqueo. Por eso, mientras esperas a que Google lance ese parche de septiembre que arregla el fallo, los pasos para evitar este exploit son muy sencillos: desactiva Screen Pinning o desancla cualquier aplicación que esté en tu pantalla de bloqueo antes de intentar hacer un pago sin contacto.
La actualización que pone fin al fallo ya está disponible para todas las marcas Android, aunque los fabricantes son los últimos responsables de su implementación. Por eso la misma ya está en varios teléfonos Samsung, aunque por alguna extraña razón, aún no está en la línea Pixel de Google. Teléfonos de otras marcas que trabajan con el sistema operativo de Google aún tienen que esperar un poco más para estar 100% protegidos.
The post El fallo de Android que pone en peligro todas tus tarjetas de Google Wallet appeared first on MovilZona.