Google มอบเงินแฮกเกอร์กว่า 2 ล้านบาทเมื่อเขาพบวิธีปลดล็อกหน้าจอบนมือถือ Google Pixel

แฮกเกอร์สายขาวจากประเทศฮังการี (Hungary) ได้ค้นพบช่องโหว่บนมือถือ Google Pixel และทำให้เขาสามารถ bypass หน้าจอล็อกสกรีนได้อย่างง่ายดายโดยไม่ต้องใช้รหัส Pin หรือลายนิ้วมือที่เจ้าของเครื่องตั้งเอาไว้ ซึ่งหลังจากรายงานไปทาง Google เขาก็ได้เงินตอบแทนเป็นจำนวน 70,000 ดอลลาร์สหรัฐหรือราว ๆ 2,400,000 บาท

ช่องโหว่รหัส CVE-2022-20465 ได้รับแจ้งโดย David Schütz แฮกเกอร์หรือนักวิจัยด้านความปลอดภัยรายหนึ่งจากประเทศฮังการี ซึ่งตัวเขาเองมักจะรับงานเป็น "Bug Bounty" หรือนักล่าเงินรางวัลบนโลกแฮกเกอร์อยู่บ่อย ๆ และช่องโหว่ครั้งนี้ก็ถูกค้นพบและมีการรายงานไปยัง Google เมื่อเดือนมิถุนายนในปีนี้เอง ก่อนที่ Google จะประกาศการอัปเดตแก้ไขในช่วงเดือนพฤศจิกายน ค.ศ. 2022 หรือ เร็วนี้ ๆ

สำหรับเทคนิคของ David Schütz ที่ทำให้เขาสามารถผ่านการป้องกันของ Google Pixel ได้มีการแสดงให้ดูถึงขั้นตอนผ่านคลิปวิดีโอใน YouTube ต่อไปนี้

ในคลิป เริ่มจากที่เขาได้ทำการปลดล็อกหน้าจอ Google Pixel ด้วยลายนิ้วมือเป็นจำนวน 3 ครั้งแต่ไม่สำเร็จซึ่งแสดงให้เห็นว่าเขาไม่ใช่เจ้าของเครื่อง และอุปกรณ์ก็มีการบล็อกระบบยืนยันตัวตนไปโดยปริยาย

จากนั้นเขาก็ได้ถอดซิมการ์ดออก และสลับเอาซิมการ์ดตัวเองใส่ลงไปแทน พร้อมกับใส่รหัส Passcode ผิดไปอีก 3 ครั้ง จนทำให้อุปกรณ์เข้าสู่โหมดล็อกซิมเพื่อความปลอดภัย และจำเป็นต้องใช้รหัส PUK Code หรือรหัส 8 หลักเพื่อปลดล็อกกลับมา

ซึ่งรหัสเหล่านั้นถ้าเราเป็นเจ้าของซิมการ์ดสามารถสอบถามจากผู้ให้บริการมือถือได้ และด้วยเหตุผลนั้นเองเมื่อมือถือ Google Pixel ทำการเข้าสู่โหมดล็อก SIM ที่แฮกเกอร์รู้รหัส PUK Code อยู่แล้ว ก็ทำให้เขาสามารถปลดล็อกได้ แต่ที่น่าตกใจคืออุปกรณ์ดันรีเซ็ตรหัส PIN ใหม่อีกด้วย ทำให้เขาสามารถตั้งรหัส PIN ใหม่และปลดล็อกหน้าจอนั้นได้เฉยเลย

รายงานของ Google ระบุว่านี่เป็นความผิดพลาดจาก source code ที่ทำให้ระบบบกพร่องในเรื่องของการตีความวิธีการเปลี่ยนซิมการ์ดดังกล่าว จนทำให้เกิดบัคไปรีเซ็ตรหัสล็อกหน้าจอตามคลิป

ซึ่งก็เป็นเรื่องที่น่ายินดีที่เขาแจ้งเรื่องนี้ไปยัง Google หลังค้นพบและบริษัทก็กำลังดำเนินการแก้ไข สำหรับตัวแฮกเกอร์คนนี้ก็ได้เงินก้อนใหญ่ไปใช้สบายเลยทีเดียว