La intrincada pero válida forma que existe de que un ciberdelincuente pueda leer los datos de las tarjetas de crédito que tengamos registradas en Google Wallet.
Gracias a Google Wallet podemos hacer pagos de una forma asombrosamente fácil se esté donde esté, en cualquier sitio que acepte Google Pay, una característica que muchos usuarios de Android están utilizando.
Pero tenemos una mala noticia, porque parece que la funcionalidad de fijación de pantalla en Android que nos permite fijar ciertas aplicaciones en la pantalla, habilita una vulnerabilidad que puede poner en riesgo nuestras tarjetas de crédito si están vinculadas a Google Wallet.
Esta vulnerabilidad ha sido localizada en GitHub, y se ha desvelado una intrincada forma de vincular los datos de la tarjeta a Google Wallet, a través de un lector NFC de uso general, como en este caso Flipper Zero.
Comentan que se trataría de un error con el código cuando el dispositivo reside en el modo de pantalla de bloqueo, con la fijación de aplicaciones habilitada, y el NFC activado. Lo peor de todo, es que no se requeriría ni la interacción del usuario para exponer los datos de la tarjeta.
Para demostrar la vulnerabilidad, el usuario de GitHub estuvo utilizando un Google Pixel 7 Pro con la función de fijar aplicación y la opción de “solicitar PIN antes de desanclar” activada.
Por otra parte al menos una tarjeta debe estar vinculada en Google Wallet además, el NFC debe estar habilitado con la opción de “desbloqueo de dispositivo requerido para NFC”.
Si se cumplen estos requisitos, el teléfono es vulnerable ya que apuntar un Flipper Zero en la parte posterior del Pixel 7 Pro podría leer los datos de la tarjeta y otros datos de la misma que se registraron en Google Wallet.
Si bien es bastante improbable que se cumplan todos los requisitos anteriores, está claro que sigue siendo una vulnerabilidad bastante importante y no obstante Google parece que ya la ha solventado.
Los investigadores ya avisaron a Google de dicha vulnerabilidad, y los de Mountain View la resolvieron y está presente en el último parche de seguridad de septiembre.