O takiej nagrodzie, w dodatku za zapominalstwo, marzy chyba każdy. David Schütz zupełnie przypadkowo odkrył poważną lukę w zabezpieczeniach smartfonów Google Pixel. Nie doszłoby do tego, gdyby pamiętał swój kod PIN. W tym jednak przypadku roztargnienie się opłaciło. Schütz za trzykrotne wpisanie błędnego kodu PIN dostał od Google'a 300 tys. złotych.
- Znalazłem lukę wpływającą na wszystkie telefony Google Pixel. Jeśli dałeś mi jakiekolwiek zablokowane urządzenie Pixel, mogłem oddać Ci je odblokowane - napisał Schütz na swoim blogu.
Spokojnie, błąd został już naprawiony. Jak pisze na wstępie blogger, zmiany wprowadzono 5 listopada. Luka została oznaczona jako CVE-2022-20465. Zanim jednak do tego doszło, każdy kto posiadał fizyczny dostęp do telefonu Google Pixel, mógł złamać blokadę ekranu, niezależnie od tego, czy był to odcisk palca, czy kod PIN.
Wystarczyło trzy razy błędnie wpisać kod PIN na urządzeniu. Następnie podmienić kartę SIM na taką, której zna się kod PUK. Ponownie wpisać trzy razy błędnie kod PIN, a następnie prawidłowy PUK. Wtedy blokada ekranu na urządzeniu znikała. Wszystko można zobaczyć na poniższym filmie.
- Wysłałem raport. Był to chyba najkrótszy z moich dotychczasowych raportów. Zawierał tylko 5 prostych kroków - pisze dalej David Schütz.
Za wykrycie tego typu błędów Google wypłaca standardowo nagrodę w kwocie 100 tys. dolarów. Tym razem jednak okazało się, że ktoś już wcześniej zgłosił ten sam błąd. Początkowo Schütz uznał, że nie należą mu się pieniądze. Po pewnym czasie zauważył jednak, że luka nie została usunięta, mimo, że od zgłoszenia minęły 3 miesiące. Nie zamierzał tego tak zostawić.
- Czułem się tak, jakbym bardziej martwił się i dbał o naprawienie błędu niż sam Google - napisał Schütz.
Ostatecznie dzięki jego nieustępliwości luka została naprawiona, a on sam, mimo, że nie był pierwszą osobą, która znalazła błąd, został sowicie wynagrodzony. Google zapłacił mu 70 tys. dolarów, czyli dokładnie 315 560 złotych.
Cały proces wykrywania luki w zabezpieczeniach Schütz opisał na swoim blogu.