Un descubrimiento preocupante ha revelado una vulnerabilidad de seguridad en el sistema operativo Android que permite el acceso no autorizado a los detalles de las tarjetas de crédito.
La vulnerabilidad, identificada como CVE-2023-35671, afecta a dispositivos Android desde la versión 5.0 y permite el acceso completo a los datos de las tarjetas a través de dispositivos NFC, incluido el popular Flipper Zero.
El problema está relacionado con la función de «Bloqueo de pantalla» de Android, que permite a los usuarios bloquear una aplicación en la pantalla hasta que se ingrese un PIN.
Cuando esta función está habilitada, junto con la opción de «Solicitar PIN para desbloquear» y «Requiere desbloqueo del dispositivo para NFC», se activa la brecha de seguridad, exponiendo los detalles de la tarjeta de crédito.
Sin embargo, es importante señalar que Google Pay debe estar configurado con una tarjeta de crédito/débito para pagos NFC en tiendas físicas.
Aunque las posibilidades de que alguien se vea afectado por esta vulnerabilidad son bajas debido a las condiciones específicas necesarias para explotarla, Google está al tanto del problema y lo ha calificado como «alto» en términos de gravedad.
La empresa ya ha desarrollado una corrección, que se incluye en la actualización de seguridad de septiembre de 2023 para dispositivos Android que ejecutan las versiones 11 a 13 del sistema operativo.
Para evitar cualquier riesgo, los usuarios pueden desactivar la función de Bloqueo de pantalla en sus dispositivos. Es importante destacar que esta función no está habilitada de forma predeterminada.
La actualización de seguridad de septiembre de 2023 ya está disponible para los fabricantes de dispositivos Android, y varias marcas, incluida Samsung, ya han lanzado la actualización para muchos de sus dispositivos.
Sin embargo, los usuarios de dispositivos Google Pixel pueden enfrentar un ligero retraso en la disponibilidad de la actualización, que estaba programada para ser lanzada junto con la próxima versión de Android, la versión 14.
