Szerző: Dömös Zsuzsanna

2022. november 24. 11:29

Milliókat ért a magyar fejlesztőnek egy Google Pixeleket érintő bug

A Google 70 000 dollárt (kb. 27,5 millió forintot) fizetett ki Schütz Dávid biztonsági szakembernek egy Pixel mobilokat érintő hibáért, amit ugyan másodikként jelentett , de az ő kitartó hozzáállásának köszönhető, hogy a keresőcég végül kiadta a javítást is egy elhúzódó folyamat végén.

Egyre elterjedtebbek az úgynevezett Bug Bounty programok, amelyek során vállalatok jutalmat ajánlanak fel annak, aki biztonsági hibát talál valamely termékükben és ahelyett hogy azt kihasználná, bejelenti nekik. Régebben csak a legnagyobbaknak, mint például a Google-nek és a Facebooknak volt ilyen programjuk, mára viszont komplett platformok jöttek létre ahol több száz program közül lehet válogatni.

Nemrég egy súlyos, a Google Pixel modelleket érintő biztonsági hibára derült fény (CVE-2022-20465) , amit egy magyar fejlesztő, Schütz Dávid jelentett a keresőóriásnak, jutalma 27,5 millió forintnak megfelelő 70 ezer dollár lett. A biztonsági szakember a Szegedi Napnak adott interjúja szerint szinte véletlenszerűen bukkant rá a hibára, ami megkerülhetővé teszi a Pixel mobilok lezárási képernyőkének védelmét.

Schütz sürgősen szeretett volna megírni egy üzenetet, de háromszor elrontotta a PIN-kódot, ezért a telefon kérte a PUK-kódját. Utána új PIN-kódot választhatott, de felfigyelt arra, hogy bekapcsolás után szükséges a feloldókód megadása is, ebben az esetben azonban az ujjlenyomatot kérte, és utána egy beragadt helyzetbe került a készülék. Később feltűnt neki, hogy ha nem indítja újra a telefont és úgy állítja vissza a SIM-kártya kódját a PUK-kóddal, akkor nem lefagy a telefon, hanem feloldódik.

01:41
 

Pixel 6 Full Lockscreen Bypass POC

Még több videó

Ez a jelenség pedig lehetővé tette, hogy egy támadó saját SIM-kártyájára cserélve a fenti lépések megismétlésével feloldja a telefon képernyőzárját, anélkül hogy tudná a feloldókódot. Ugyan a sérülékenység kihasználása fizikai jelenlétet követel, mégis kiterjedten érintette az eszközöket.

A Pixel 6 modellt használó biztonsági szakértő egy Pixel 5-ön is tesztelte a módszert, utána elküldte észrevételét a Google-nek, amit 34 percen belül elfogadtak, de utána egy hónapig nem kapott érdemi reakciót, kálváriáját egy tanulságos és sokatmondó blogposztban részletezte. Egy hónap után érkezett az értesítés a Google-től, hogy a hibát korábban valaki már jelentette, ezért duplikációnak számít, és nem jár érte a táblázat szerint kiérdemelhető 100 ezer dollár (a fizetési sávok táblázata itt található). A bejelentés utáni 59. napon azonban még mindig nem volt kész a javítás, lassan már úgy tűnt, hogy a szakembert jobban aggasztja a hiba, mint a Google-t.

Három hónappal később Schütz részt vett Londonban a keresőcég ESCAL8 nevű bugvadász-eseményén, itt jutott eszébe hotelszobájában, hogy letöltse a szeptemberi frissítést, de még az sem tartalmazta a szükséges patchet, a módszer továbbra is működött. Ezután vette fel a kapcsolatot a cég alkalmazottaival az eseményen, akiknek élesben is megmutathatta, mi a probléma, utána kereste meg őt a bug ticket kapcsán az Android VRP team egyik embere.

A keresőcég a 70 ezer dolláros jutalom meghatározásánál figyelembe vette, hogy a hibát korábban valaki már jelentette, de mivel a felfedezés idejéig nem sikerült hozzá javítást kiadni, járt az összeg. A hiba javítását tartalmazó Android frissítést végül november ötödikén tette letölthetővé a cég, Schütz kitartásának köszönhetően.

Schütz egyébként egy korábbi meetupunkon előadást tartott arról, hogy miként érdemes elindulnia annak, aki bug bounty-val szeretne foglalkozni, de nem tudja, hol lásson neki:

17:33
 

Mi az a Bug Bounty és hogyan kezdhetünk bele? - Schütz Dávid (ICT Megoldások)

Még több videó
a címlapról