Zapomniał kodu PIN do swojego telefonu. Google zapłacił mu za to 300 000 zł

Zapomniał kodu PIN do swojego telefonu. Google zapłacił mu za to 300 000 zł

Zabezpieczenia Pixela 6 dało się łatwo obejść
Zabezpieczenia Pixela 6 dało się łatwo obejść
Źródło zdjęć: © David Schütz, YouTube
Miron Nurski
23.11.2022 13:19, aktualizacja: 23.12.2022 07:47

Pewien użytkownik Pixela zapomniał kodu PIN i dzięki temu odkrył żenującą lukę w zabezpieczeniach. Nie ominęła go sowita nagroda.

Oto #TOP2022. Przypominamy najlepsze materiały mijającego roku.

W zasadzie nie był to zwykły użytkownik, lecz haker, który łamaniem zabezpieczeń zajmuje się na co dzień. Ten konkretny przypadek nie wymagał jednak od niego żadnych hakerskich umiejętności. Nie zrobił absolutnie niczego, o czym nie mógłby pomyśleć największy laik.

Obszedł ekran blokady smartfonu w kilka minut. Google wypłacił nagrodę

David Schütz opisuje na swojej stronie, w jaki sposób odkrył lukę w zabezpieczeniach "prawdopodobnie wszystkich smartfonów Google Pixel".

Dalsza część artykułu pod materiałem wideo

Bateria w jego prywatnym Pixelu 6 została rozładowana, więc po ponownym uruchomieniu telefon zażądał wpisania kodu PIN karty SIM. Haker nie był w stanie go sobie przypomnieć, a dalszy ciąg zdarzeń doprowadził do tego, że ominął ekran blokady nie dysponując prawidłowym kodem.

Aby odblokować "dowolnego Pixela" , wystarczyło:

  1. popełnić błąd podczas wpisywania kodu;
  2. wyjąć kartę SIM i umieścić w telefonie własną kartę:
  3. 3-krotnie wpisać błędny PIN;
  4. użyć kodu PUK do zmiany kodu PIN.

I tyle. Po takim zabiegu smartfony ignorowały dalsze zabezpieczenia, w tym ekran skanowania odcisku palca. "Gdybyś dał mi jakiekolwiek zablokowane urządzenie Pixel, mógłbym ci je zwrócić w stanie odblokowanym" - pisze haker na swojej stronie.

Haker zgłosił błąd Google'owi, który - według oficjalnego cennika - za znalezienie sposobu na ominięcie ekranu Pixela powinien wypłacić nawet 100 000 dolarów. Pierwotnie zgłoszenie zostało oznaczone jako duplikat, więc hakerowi teoretycznie nie przysługiwały żadne pieniądze. Ostatecznie Google przyznał jednak, że problem udało się rozwiązać dzięki jego zaangażowaniu, więc zgodził się wypłacić mu 70 000 dolarów. To równowartość 320 000 zł.

Haker jest zażenowany tempem prac Google'a

W całej historii jest jeden problem. Wspomniany błąd został zgłoszony 13 czerwca, a usuwającą go łatkę zabezpieczeń wydano dopiero 5 listopada. Google potrzebował 145 dni na załatanie luki, która pozwalała na przejęcie kontroli nad smartfonami bez żadnej specjalistycznej wiedzy.

Haker na nie ukrywa rozczarowania. Miał czuć, że "na rozwiązaniu problemu bardziej zależy mu, niż Google'owi". Sprawa wymagała bowiem wielokrotnego kontaktu ze specjalistami firmy i została rozwiązana dopiero wtedy, gdy odkrywca błędu "zaczął krzyczeć wystarczająco głośno".

Schütz nie wyklucza, że problem może dotyczyć także części telefonów innych marek. Warto więc zainstalować listopadowy pakiet zabezpieczeń gdy tylko się pojawi.

Każdy może zarobić na znalezieniu błędu

Google prowadzi specjalny program nagród dla osób, którym uda się znaleźć sposób na ominięcie zabezpieczeń Androida. Za pojedyncze odkrycie można znaleźć zgarnąć nawet milion dolarów.

Szczegóły znajdziecie na tej stronie.

Miron Nurski, redaktor prowadzący Komórkomanii

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (44)