Schütz Dávid nem mindennapos történetről számolt be a Szegedi Napnak. Dávid egy súlyos biztonsági rést fedezett fel az Android operációs rendszerben, ami milliókat érint. A Bug Hunter programnak köszönhetően ezért jelentős jutalom ütötte a markát, de a sztori lényegesen érdekesebb, mint ahogyan ez két mondatból lejön.

A hibák vadászatával manapság rengeteg pénzt tudnak megkeresni a programozók, a bug bounty nagyon népszerű, és a Google az elsők között volt, akik ezt rendszerszinten bevezették jelentős pénzjutalmakkal. A keresőóriás dollármilliókat fizet ki hibák feltárására, és elsődlegesen azokat a beszámolókat jutalmazza, amik valamilyen biztonsági problémára mutatnak rá. Schütz Dávid is egy sebezhetőséget tárt fel, méghozzá a súlyosabbik fajtából.

Schütz mindössze 21 éves, de biztonsági szakértőként dolgozik, és hosszú ideje foglalkoztatja ez a terület. Azonban érdekes módon azt a hibát, amiért most a Google csillagászati összeget fizetett neki, szinte teljesen véletlenül szúrta ki. Ráadásul olyan dologról van szó, amit tényleg egy teljesen hétköznapi ember is felfedezhetett volna. Éppen ezért kihasználni is viszonylag könnyű volt a dolgot.

Elegendő volt egy elrontott PIN-kód ahhoz, hogy egy okostelefon biometrikus azonosítási rendszerét megkerülje a szakember.

Egyszer sietségében Schütz lezárta a SIM-kártyáját, és arra lett figyelmes a PUK-kód megadását követően, hogy az okostelefont nem is kell újraindítani ahhoz, hogy a PUK-kódot követően beállított teljesen új PIN-kóddal ki lehessen nyitni a mobilt. Így azonnal hozzá tudott férni a készülékhez, minden adatot elért. A bökkenő csak az, hogy ezt nem tehette volna meg, hiszen az okostelefon ujjlenyomattal is védve volt eredetileg.

A Pixel 6, ami a saját tulajdona volt, elfelejtette a biometrikus lezárást a PIN-kóddal történt közjáték miatt, és rögtön hozzáférést adott mindenhez. Ugyanezt pedig egy másik androidos mobillal is sikerült reprodukálnia, szóval nemcsak az általa használt eszközt érintette a probléma.

A Google 70 ezer dolláros, vagyis nagyjából 28 millió forintos jutalmat fizetett ki a hibát felfedező szakembernek, de ez nem ment olyan egyszerűen, mint ahogyan annak történnie kellett volna. Miután Schütz jelezte a Google számára a hibát, a keresőóriás azonnal visszaigazolta, hogy rögzítették a dolgot az illetékesek. Bizonyítékot is adott a szakember a problémáról, videót is készített a hibáról. Úgy gondolta, hogy ezt követően hamar jön majd a javítás, de nem így lett.

A Szegedi Napnak adott interjúból kiderült, hogy hónapok teltek el, mire a Google kiküszöbölte a biztonsági rést, és lényegében már zaklatnia kellett Schütznek a keresőóriás dolgozóit, hogy célt érjen. Egy konferencián még élőben is bemutatta a hibát. Akaratosságból jelesre kellett vizsgáznia, hogy végül a Google a novemberi biztonsági javításcsomaggal felszámolja a problémát. Ez pedig nem kicsit aggasztó, hiszen ebből kiindulva sok hasonló hiba maradhat nyitva, annak ellenére, hogy még jelzik is a cég felé.

Egy olyan sérülékenységnél, ami ennyire súlyos, 100 ezer dolláros pénzjutalom üthetné a felfedezést jelentő és dokumentáló biztonsági szakértő markát. De akkor miért jutott Schütz Dávidnak „mindössze” 70 ezer dollár? Nos, az az igazság, hogy nem ő volt, aki elsőként jelezte ezt a hibát. Ezt már korábban megtudta Schütz, és éppen ezért tisztában volt azzal, hogy a 100 ezer dollárt aligha fogja megkapni, úgy gondolta, hogy az is benne van a pakliban, hogy semmit nem kap érte, ennek ellenére azért folyamatosan kereste a Google-t.

Végül valószínűleg a rámenősségének köszönhetően zsebelhetett be ekkora jutalmat úgy is, hogy igazából nem ő jelezte a hibát először. Egészen biztos, hogy mostanáig sem lenne javítva a hiba, ha nem erőlteti ennyire a dolgot, és nem igyekszik pontot tenni az ügy végére.