Libero
SICUREZZA INFORMATICA

Se pagate col telefono state molto attenti a chi avete accanto

In precise circostanze un malintenzionato può rubare i dati delle carte archiviate in Google Wallet: ecco come, quando e come difendersi

Una delle tendenze tech col più alto tasso di crescita negli ultimi anni è quella dei pagamenti elettronici contactless, cioè quelli tramite smartphone (più raramente tramite smartwatch) dotati di chip NFC. Tramite app come Google Wallet, infatti, è possibile archiviare i dati scannerizzati da una carta di pagamento e poi usarli per finalizzare gli acquisti pagando in negozio col POS.

Questo gesto molto semplice e tanto diffuso, però, non è sicuro al 100% come dimostra l’ultimo bollettino di sicurezza di Android (settembre 2023), che descrive tutti i fix ai bug rilasciati da Google. Tra questi bug “fixati” ce n’è uno che riguarda proprio Wallet e i pagamenti via NFC.

Bug Google Wallet: come funziona

Il bug di Google Wallet è stato scoperto dall’hacker etico italiano Tiziano Marra, che ha pubblicato un video in cui mostra come hackerare una carta di pagamento N26 archiviata su Wallet su Pixel 7 Pro, usando un Flipper Zero (lettore di NFC che si compra su Amazon per poco più di 200 euro).

Le condizioni principali affinché il “trucchetto” riesca sono due (oltre alla presenza di un lettore NFC): la prima è che sul telefono del pagatore sia impostato lo sblocco per attivare l’NFC, la seconda è che sullo stesso telefono ci sia un’app “pinnata“, cioè bloccata sullo schermo.

Il blocco delle app sullo schermo è una funzione di sicurezza di Android, che impedisce a chi prende il telefono di usare altre app al di fuori di quella bloccata. Per sbloccare le altre app l’utente deve inserire un PIN o usare lo sblocco biometrico. Ma, come mostrato nel video, tale sblocco apre le porte alla lettura indiscriminata delle carte di pagamento archiviate in Wallet.

I dati delle carte, trasmessi dal telefono e letti dal Flipper Zero, sono il numero, il circuito e la data di scadenza. Per fortuna non anche il codice CVV, cosa che rende impossibile usare la carta appena clonata per fare shopping online.

Bug Google Wallet: come proteggere la carta

Questo bug è effettivamente sfruttabile in precise circostanze, ma basta che il nostro telefono sbloccato finisca per pochi secondi nelle mani di un esperto malintenzionato affinché tali circostanze diventino realtà. Mai lasciare incustodito il cellulare subito prima di un pagamento, quindi.

Marra ha comunicato a Google l’esistenza di questo pericoloso bug a febbraio 2023, affinché Big G lo potesse correggere. Cosa che è effettivamente successa con le patch di sicurezza di settembre, attualmente in distribuzione su alcuni smartphone.

Per sapere se il vostro telefono è già stato aggiornato (cosa al momento poco probabile), è necessario andare su Impostazioni > Informazioni sul telefono > Versione Android e leggere la data dell’ultimo aggiornamento della sicurezza: se è precedente al 5 settembre, allora il telefono è a rischio, altrimenti è sicuro.