редакции Выбор
Как моя 9-месячная дочь заработала больше 1000 долларов в программе bug bounty
Предыстория
Уже достаточно давно я использовал смартфоны Xiaomi. Мне нравилось, что за небольшие деньги можно было получить в принципе качественный аппарат. Но в последнее время в них стало слишком много встроенной рекламы. Поэтому когда очередной смартфон сломался, я решил попробовать продукцию какого-нибудь другого производителя.
Слышал неплохие отзывы о Samsung и решил попробовать. У официального дилера купил средне-бюджетный аппарат — Galaxy A30 (года полтора назад он стоил около 25 тыс. рублей) и в целом был доволен. Он немного дороже Xiaomi, к которым я привык, но было видно, почему — по ощущениям устройство более качественное. Но речь не об этом.
Девятимесячный тестер
Моей маленькой дочке на тот момент было около 9 месяцев. В этом возрасте она любила все хватать и исследовать пальцами. Новый телефон она также брала, по-всякому крутила, трогала и даже грызла. Я не сопротивлялся, поскольку телефон все равно заблочен — пусть ребенок играет.
Однажды я заметил, что телефон в руках у дочери разблокирован. Вероятно, я забыл его выключить и она просто схватила его до того, как он выключился автоматически, подумал я. Но когда это повторилось третий и четвертый раз, я понял, что проблема не в забывчивости.
У меня был настроен вход по отпечатку пальца. У этой модели при входе внизу экрана появлялся значок отпечатка — к нему надо было приложить палец. Поэтому первым предположением было, что телефон можно разблокировать любым отпечатком. Попробовал — не сработало. Действительно, разблокировка срабатывает только с заведенным в системе отпечатком. И я начал следить за тем, как дочь играет с телефоном.
Через несколько дней я действительно увидел, как она разблокирует телефон. Ее очень привлекал появляющийся на экране значок отпечатка. Она по-разному двумя пальчиками его теребила. И внезапно телефон разблокировался.
Я решил попробовать сам, используя пальцы, не сохраненные в телефоне. Не сразу, но мне удалось повторить достижение дочери. Причем, не один раз.
Конечно, проблема была нестабильной — то удавалось разблокировать почти сразу, то требовалось полчаса пальцами водить. Но мотивации разобраться в происходящем добавлял масштаб проблемы. Это ведь серьезная уязвимость — блокировка фактически не работает, а в телефоне у всех стоят не только мессенджеры, но и банковские приложения. Ты потерял телефон, не успел спохватиться, а другой человек легко зашел в банк и сделал все, что угодно с твоими счетами. И если разблокировать телефон смогла моя маленькая дочь, то наверняка я — не первый, кто это заметил.
Общение с Samsung
Честно скажу — никогда не участвовал в программах bug bounty. Просто читал про это новости и знаю, что крупные компании хорошо платят за найденные серьезные уязвимости. Не столько из желания заработать денег, сколько из любопытства, чем это закончится, я написал в Samsung.
Дальше началась целая эпопея. Они просили проводить с телефоном различные действия — просто разблокировать; удалять отпечаток, создавать его снова и лишь потом разблокировать; обновлять прошивки и повторять процедуру. Естественно, все это нужно было делать на видео и периодически в той же записи показывать страницу с версиями прошивок.
Весь процесс осложнялся тем, что это был нестабильный баг. Пока ты делаешь все подготовительные действия, уже проходит несколько минут. И потом нужно еще воспроизвести саму разблокировку. Причем, каждый раз ты пытаешься воспроизвести ошибку, с первого раза она не воспроизводится, а ты про себя думаешь: «А может все уже починили?»
К процессу подключилась жена и на некоторое время это стало нашим семейным хобби по вечерам. «У нас новые вводные от Samsung, надо воспроизвести вот это. Давай я сижу с дочкой, а ты начинаешь!». Специально для удобства съемок мы закрепляли один смартфон сверху, включали на нем запись, а снизу воспроизводили требуемую последовательность действий на моем устройстве. Чем-то это напоминало рыбалку. Разблокировка удавалась, свою порцию дофамина мы получали — рыба поймана.
Так прошло 5 месяцев.
Под конец из Samsung пришло сообщение с номером очередной обновленной прошивки, которой мне нужно было дождаться и повторить разблокировку. Когда обновление прошло, я включил запись, проверил номер прошивки, но не смог воспроизвести баг, потому что они добавили проверку кода после пяти неправильно введенных отпечатков подряд. Не факт, что первоначальную проблему убрали, но в таких условиях повторить уже не получалось ни у меня, ни у жены.
Мы ответили в Samsung, что проблема не воспроизводится.
Надо отметить, что у многих других производителей на устройствах уже давно был счетчик неверного ввода — это же решение, лежащее на поверхности. Но факт в том, что до этой прошивки у Samsung его не было.
Bug bounty
Спустя пару месяцев мне написали из Samsung, что заявленный мной баг был дубликатом, но имел высокий приоритет. Поэтому за сотрудничество в процессе его устранения нам полагается вознаграждение — 1380 долларов США. Компания была готова перевести деньги через один из специализированных сайтов-партнеров — Bugcrowd.
Я зарегистрировался и хотя фактически перевод еще туда не пришел, уже посмотрел, что скорее всего вывести оттуда деньги мне не судьба. Буду придумывать обходные пути, но для истории это на самом деле не важно. Это уже технический вопрос. Как бы он не решился, мне будет, что рассказать дочери, когда подрастет!
Краткие выводы
На мой взгляд, история не о том, что надо ругать или не ругать конкретного производителя. Зная, как это все устроено, я понимаю, что баги есть везде и всюду. Но все это в принципе подрывает доверие к способам защиты телефонов — биометрии и так далее.
Меня на самом деле поразила критичность бага — как легко разблокировать телефон, причем не какой-нибудь, а Samsung. Фактически, у телефона не было вообще никакой защиты. И этот баг правился довольно долго — полгода прошло с того момента, как я впервые его зарепортил. А ведь, как мне сказали, это был еще и дубликат (видимо, он был более старый). У других производителей все может быть еще хуже. И я бы держал в уме, что все, что у тебя есть, может быть легко хакнуто.
Какое-то время назад мне банк предлагал подключить распознавание по голосу — и я тогда отказался из общих соображений безопасности. А после этой истории я точно на это уже не соглашусь.
Автор: Андрей Буров (@burov4j), Максилект
P.S. Мы публикуем наши статьи на нескольких площадках Рунета. Подписывайтесь на нашу страницу в VK или на Telegram-канал, чтобы узнавать обо всех публикациях и других новостях компании Maxilect.