Instalki.pl » Aktualności » Software » Zapomniał PIN do telefonu, ale znalazł obejście. Google wypłaciło mu 316 tys. złotych
Czwartek, 24 Listopad 2022 10:15, Wpisany przez Maksym Słomski
kod pin do smartfonu
Szybki zarobek.

Niezła wpadka wizerunkowa Google. Jak się okazuje smartfony Google Pixel, teoretycznie wzorcowe smartfony z Androidem - bo któż może zrobić lepszy smartfon z Androidem od twórców tego systemu - są podatne na to zaskakująco łatwe obejście ekranu blokady. Odkrył je badacz bezpieczeństwa David Schutz. Za swoje odkrycie dostał sowite honorarium. Co najciekawsze, doszedł do niego zupełnym przypadkiem.

Odblokowanie smartfona bez kodu PIN


David Schutz przebywał cały dzień w podróży i do zera rozładował baterię swojego smartfona Google Pixel 6. Po podłączeniu ładowarki do gniazdka telefon poprosił o kod PIN jego karty SIM. Schutz kodu zapomniał, w związku z czym zablokował sobie kartę. Znacie tę procedurę, po trzech nieudanych próbach wprowadzenia kodu PIN telefon prosi o kod PUK karty SIM, który znajduje się zazwyczaj na opakowaniu karty SIM. Tak było i tym razem.

Schutz znalazł kod PUK, wprowadził go na ekranie smartfonu, po czym został poproszony o ustawienie nowego kodu PIN. Robiąc to zauważył, że smartfon wyświetlił ikonę odcisku palca zamiast kłódki. Smartfon zaakceptował jego odcisk palca, ale utknął na komunikacie "Pixel się uruchamia...".

Schutz szybko zorientował się, że może wykonać tę samą sekwencję kroków, otworzyć tackę karty SIM i podmienić kartę, by całkowicie ominąć ekran blokady. Proces ten zaprezentował na poniższym filmie. Jak się okazało, działa on na wszystkich telefonach Google Pixel.



Google hojnie nagrodziło Schutza, ale nie obyło się bez przygód


Luka została błyskawicznie naprawiona w ramach aktualizacji zabezpieczeń z 5 listopada 2022 roku, po tym jak Schutz skontaktował się z Google. Kiedy Schutz pierwotnie zgłaszał błąd, tabela kwot nagród dla Androida sugerowała, że za swoje znalezisko może otrzymać nawet 100 000 dolarów (ok. 451 700 złotych). Błąd został niespodziewanie oznaczony jako duplikat, co oznaczało, że mężczyzna zostanie odprawiony z kwitkiem. Na tym jednak historia się nie kończy.

Schutz zgłosił błąd w czerwcu, a ten dopiero miesiąc później został oznaczony jako duplikat. Gdy Google wydało wrześniową poprawkę bezpieczeństwa... nadal można było używać obejścia. Schutz był wtedy na imprezie Google ESCAL8 w Londynie, w związku z czym postanowił zademonstrować obejście na telefonach Pixel bezpośrednio w biurze Google.

Zespół Android Vulnerability Reward Program wysłuchał historii dotyczącej błędu, a poprawka została zaplanowana na listopad. Schutz ostatecznie otrzymał nagrodę w wysokości 70 000 dolarów (ok. 316 000 złotych), ponieważ chociaż jego błąd był duplikatem, tylko z powodu jego dodatkowego raportu zaczęto pracować nad poprawką. Intrygujące.

Źródło: PCMag, David Schutz