Что нужно делать с багами? Ну, нормальные разработчики обычно их исправляют, ведь именно от этого будет зависеть отношение потребителя к продукту. Взять хотя бы Apple. Несмотря на то что компания из Купертино накопила достаточный авторитет, чтобы пренебречь качеством своих разработок, она исправно латает все дыры, которые обнаруживаются в её операционных системах. И неважно, будет их 2 или 20 – Apple сделает всё, чтобы багов больше не было, и пользователи больше о них не вспоминали. Но Google, что интересно, придерживается другой точки зрения по этому вопросу.
Читайте также: Google хотела сделать Google Pay таким же удобным, как Apple Pay, но передумала
В системном приложении Tags, которое предустанавливается на смартфоны с Android Nougat, Oreo и Pie и предназначается для считывания NFC-меток, обнаружилась критическая уязвимость. Её нашли специалисты компании Checkmarx Security Research. По их словам, баг позволяет любому приложению, которое установлено на смартфон, вне зависимости от объёма полученных привилегий выдавать себя за метку и провоцировать выполнение тех или иных действий. А значит, скорее всего, этим воспользуются злоумышленники, которые узнают о существовании уязвимости.
Как обмануть NFC
Наиболее вероятный сценарий осуществления вредоносных атак – подмена данных. Сейчас многие банковские приложения позволяют не вводить данные карты для перевода денег, предлагая просто приложить «пластик» к задней панели смартфона. Это действие активирует NFC-модуль в аппарате, который считывает платёжные данные и автоматически вставляет их в соответствующие поля. В этот момент в процесс могут вмешаться злоумышленники, подменив данные карты и таким образом заставив свою жертву перевести деньги на их счета, а не по прямому назначению.
Читайте также: Как добавить в Google Pay любой билетили посадочный талон
Неприятно, согласен, но ведь этот баг, как и другие подлежит исправлению, не так ли? Так, но лишь отчасти. Как оказалось, Google исправила эту уязвимость только в Android 10, оставив остальные версии операционной системы без патча. В результате в опасности сейчас находятся около 40% всех пользователей Android, смартфоны которых работают именно под управлением уязвимых версий ОС, а значит, ничего не может помешать злоумышленникам воспользоваться уязвимостью и обчистить своих жертв.
Как не стать жертвой хакеров
Важно понимать, что даже если вы прекратите заполнять платёжные данные при помощи NFC, ничего принципиально не изменится, поскольку злоумышленники наверняка придумают другой способ обмануть вас. Поэтому единственным способом защиты, который действительно убережёт вас от подмены NFC-меток, является полное отключение модуля ближнего поля. Однако такой способ несёт в себе массу ограничений – от неспособности больше считывать теги до невозможности оплачивать покупки при помощи Google Pay или Samsung Pay.