เวลามีคนพบเจอช่องโหว่ในระบบการปลอดภัยต่าง ๆ ก็เลือกได้ว่าจะมาสายฉวยโอกาส ใช้โจมตีเหยื่อเพื่อผลประโยชน์ของตนเอง หรือว่าจะเอาข้อมูลไปเตือนเจ้าของระบบเพื่อความปลอดภัยส่วนรวม ซึ่งชายคนนี้ก็ได้เลือกทางสายศีลธรรม แจ้งไปยัง Google ว่าค้นพบวิธีลอดผ่านหน้าล็อกของมือถือ Pixel 6 และ Pixel 5 ได้โดยไม่ได้ใช้การปลดล็อกด้วย PIN ทำให้ได้รับเงินรางวัลไป 2.5 ล้านเหนาะ ๆ ครับ

แฮคเกอร์คนดังกล่าว คือนาย David Schütz ที่พบว่ามีบัคอันตรายในมือถือ Google Pixel ที่ทำให้คนอื่นสามารถเข้าถึงมือถือได้แม้ไม่รู้รหัสผ่าน PIN “คุณจะเอามือถือ Pixel ที่ล็อกเอาไว้เครื่องไหนก็ได้มาให้ผม รับรองผมคืนให้แบบปลดล็อกไปแล้วได้แน่นอน” David กล่าว

โดยเค้าเล่าว่าได้ค้นพบวิธีนี้ เพราะตัวเองได้ลืมรหัสผ่านของมือถือ เลยกด Reboot เครื่อง แล้วก็ใส่รหัสผ่านผิด ๆ ไป 3 รอบ จนมือถือขึ้นเตือนให้ใส่โค้ด PUK (Pin Unlock Key) ที่ใช้ปลดล็อกซิม แล้วจากนั้นก็กดเปลี่ยนรหัส SIM PIN จนได้ไปถึงหน้า “Pixel is Starting” ซึ่งมาถึงตรงนี้เค้าก็สังเกตเห็นความผิดปกติแล้ว เพราะว่ามือถือยอมรับให้เค้าปลดล็อกด้วยการแสกนนิ้วมือ ทั้งที่ปกติหลังเปิดเครื่องใหม่มาต้องใส่รหัส PIN ก่อน

หลังจากนั้นเค้าเลยลองทดสอบทำแบบเดียวกันอีกหลาย ๆ รอบ จนมาถึงรอบนึง ที่ David ลืมที่จะ Reboot มือถือก่อนจะเปลี่ยนซิม และเมื่อใส่โค้ด PUK เข้าไปและเปลี่ยน SIM PIN ใหม่ ก็พบว่ามือถือเกิดบัคพาเค้ามายังหน้าหลักของมือถือเลย พอลองกับทั้ง Pixel 6 และ Pixel 5 ก็ปลดล็อกได้เหมือนกันทั้งคู่ ทำให้เค้ารู้ตัวว่าได้พบเจอวิธีลอดผ่านหน้าล็อกของมือถือ Pixel ได้แล้ว 

David อธิบายว่า “แค่คุณมีซิม ที่ติดรหัสล็อก PIN กับการเข้าถึงมือถือของเหยื่อ แค่นี้ก็โจมตีได้สมบูรณ์แล้ว เพราะแค่เปลี่ยนมาใส่ซิมที่เรารู้รหัสอยู่แล้วก็จะปลดล็อกมือถือได้

เค้าจึงรีบแจ้งช่องโหว่นี้ให้ Google รับทราบทันที ซึ่งหลังจากนั้นราว 4 เดือน Google ก็ออกอัปเดตใหม่แก้ไขบัคตัวนี้ และถึงแม้กูเกิลจะบอกว่าบัคดังกล่าวเคยมีคนพบเจอและได้แจ้งให้ทราบไปแล้ว แต่ก็ยังจะให้รางวัลกับ David เป็นเงินมูลค่า 70,000 ดอลลาร์ หรือราว ๆ 2.5 ล้านบาทอยู่ดี เพื่อเป็นขวัญกำลังใจช่วยค้นหาช่องโหว่ระบบความปลอดภัยต่อไปครับ

Play video

 

ที่มา : cybernews, xdavidhu