Foto: Shutterstock

Istraživač iz oblasti informacione bezbednosti zaradio je 70 hiljada dolara nakon što je otkrio veliki propust u Android operativnom sistemu pomoću kojeg možete sa lakoćom da zaobiđete zaštitu zaključanog ekrana i otključate svaki Guglov Pixel telefon.

Piše: Milan Srdić

David Šuc je IT stručnjak iz Mađarske koji se bavi hakovanjem i pronalaženjem bagova u softverskim sistemima. Uspeo je sasvim slučajno da otkrije rupu u svom Pixel telefonu i to nimalo naivnu. Svako ko dodje u kontakt sa mobilnim uređajem može da ga otključa bez znanja šifre ili PIN-a i tako pristupi svim podacima.

Na svom blogu David objašnjava da je ovo možda i najopasniji propust koji je do sad pronašao zbog čega je hitna reakcija i popravka bila neophodna. Dodatna nepogodnost za Gugl je to što bi se telefon mogao hakovati bez naročitog poznavanja hakerskih tehnologija, sledeći niz jednostavnih koraka.

Šta se zapravo desilo i kako je bag otkriven?

Kada je David došao kući posle celodnevnog putovanja, njegov Pixel 6 je bio potpuno prazan. Stavio je telefon na punjač i restartovao ga, posle čega je trebalo uneti PIN kod za SIM karticu. Nakon tri neuspešna pokušaja kartica se zaključala i zahtevala je unos PUK koda. Uneo je pravilan PUK i konačno, telefon se uključio.

Međutim, telefon mu nije tražio standardni PIN koji se unosi prilikom svakog pokretanja, već je dozvolio i autentifikaciju otiskom prsta. Zatim se desila druga čudna stvar –  prikazala se poruka: “Pixel se učitava…”. Pošto se ništa nije dešavalo, a poruka i dalje bila prikazana, morao je ponovo restartovati uređaj nakon čega se sve činilo u redu.

Narednih dana je nastavio da istražuje bag koji mu se desio ne bi li bio siguran da se ispod toga ne krije ništa ozbiljnije. Igrao se i ponavljao proces više puta sve dok nije otkrio tačan sled koraka koji dovode do kraha sistema. Tokom jednog od brojnih pokušaja je zaboravio da restartuje telefon dok je sve ostale korake ponovio. Vadio je i ponovo ubacivao slot za SIM karticu i namerno grešio PIN kako bi mogao da unese PUK i restartuje karticu. Kada je to učinio, zatekao ga je otključan telefon.

David je istražio da se za otkrivanje ovakvih vrsta bagova može dobiti i do 100 hiljada dolara, tako da je brzo popunio i poslao prijavu.  Gugl je munjevito odgovorio na mejl i saopštio da je zahtev obrađen i propust prijavljen programerima.

Nažalost, ispravka ovog baga nije tekla tako ekspresno. Mesec dana kasnije David dobija obaveštenje da je neko pre njega već prijavio istu stvar i da gubi pravo na nagradu.

Ključni trenutak se desio u septembru, tri meseca kasnije, kada je David prisustvovao Guglovom dogadjaju “ESCAL8” koji okuplja sve istraživače bagova. Pošto je preuzeo i instalirao novo ažuriranje koje je tada izašlo, pokušao je na isti način da otključa telefon bez šifre u nadi da je bag popravljen, međutim, ponovo je uspeo da zaobiše zaštitu. Ovo ga je nateralo da se obrati samim zaposlenima koji rade u Guglu, da ih zainteresuje i demonstrira im problem.

Nedugo zatim Gugl obaveštava Davida da će ipak dobiti zasluženu nagradu u iznosu od 70 hiljada dolara. Iako nije prvi koji je prijavio ovaj bag, Gugl je napravio izuzetak i isplatio mu premiju zbog toga što su upravo zbog njegove prijave krenuli da rade na otklanjanju problema.

Petog novembra je konačno popravljen bag a Davidu omogućeno da podeli svoja otkrića sa ostatkom interneta.

***

BONUS VIDEO: Ransomver – hakeri vrebaju na internetu, čuvajte svoje računare

Komentari

Svi komentari (0)