A mindössze 21 éves Schütz Dávid biztonsági szakértő a blogján mutatta be azt a módszert, amivel megkerülte, „feltörte” az androidos telefonok azonosító és beléptető rendszerét. Némi küzdelem után meg is jutalmazta őt a Google 28 millió forinttal a magánzó bug-vadászt, és ez a hír végigfutott a hazai sajtón. Dávid világa globális, angol nyelven kommunikál, ám a fiatalember szegedi, így hazai pályán, a Bárkában tudtunk beszélgetni.
Első mobil telefonos élménye még nem okos készülékhez kötődik, apukájának volt egy „buta” Nokia telefonja, de már hangfelismerővel. – Bármit mondtunk neki, azt válaszolta, most akkor felhívja az Óföldeáki Tésztaüzemet. Kíváncsi lennék, végül hányan telefonáltak oda – emlékszik vissza Dávid a még alsó tagozatos időkre, és a ma is működő, de soha fel nem hívott tésztaüzemre.
2010 körül, tízévesen kapta első mobiltelefonját, ami már okos volt, az a Samsung meg is maradt neki 2-3 évig. Dávid szegedi születésű, de akkor Hódmezővásárhelyen éltek és a Liszt Ferenc általános iskolába járt. Volt vagy öt énekórája hetente, hegedült is, ahogy az egy zenei szakos iskolához illik. Végül úgy alakult, hogy nem ebben lett király.
– Sokat játszottunk számítógépen videójátékokkal, az egyik barátom, Laci programozott és fejlesztett is kiegészítőket azokhoz. Kicsi játékokat hozott létre a nagy játékon belül, ő húzott engem ebbe az irányba, próbáltam utolérni, de nem volt könnyű a programozás – beszél a „megfertőződés” egyik komoly lépcsőjéről.
Hozzáteszi, közösen is dolgoztak sokat, ő jobban pörgött, mint a barátja és mindig mondta, hogy ezt meg azt kellene csinálni. Laci pedig azt tudta jobban, hogyan kell megcsinálni, technikailag jóval előrébb volt.
Fejlesztettek a felső tagozatban egy weboldalt közösen, arra lehetett szavazni, milyen zenét játszanak farsangkor, és persze azokat adták le Lacival.
Általános iskola után nem vették fel a szegedi Ságvári gimnáziumba informatikára, ami akkor egy kicsit megfogta, de nem nagyon. A Tömörkénybe ment, angolra, és elismeri, nem voltak igazán jó jegyei a középiskolában. – Nekem már akkor sem ment olyannal foglalkozni, aminek nem láttam a miértjét. Tudom, hogy ez vitatható, és az egyetemen is hasonlóak a problémák – mondja Dávid, aki Szegeden 2020-ban kezdte el a mérnökinformatikus szakot.
Az IT biztonság már a középiskola kezdetén előjött, szerinte akkoriban még „megkérdőjelezhetően etikus tartalmakat” is fogyasztott, mert azok voltak igazán érdekesek a hekkelés szempontjából. Volt néhány csínytevés kategóriába sorolható dolog, amit a mai fejjel már biztosan nem csinálna.
Dávid a középiskola tizedik évfolyama körül kezdett el tudatosan foglalkozni, a biztonsági hiba kereséssel. – A cégek meghirdetik újdonságaikat és várják, hogy meghekkeljék őket. És akinek sikerül rést találni a rendszeren, azokat megjutalmazzák. Ez egy kategóriája az etikus hekkerségnek – magyarázza Dávid. Megtudjuk, ez nyitott, bárki számára elérhető – kivéve a tiltólistás országokat –, 13 év az alsó korhatár és nyersen teljesítményalapú.
– Ebben a szakmában a kimenet a megtalált biztonsági hiba, igenis lehet mérni bennünket teljesítményben – fogalmaz meglepően tudatosan Dávid, akinek első „szemmel is látható” pénzdíja 2000 dollár volt. A Google nyilvánosan meghirdeti, hogy ha valami módon fel tudja törni valaki, akkor azt értékeli és díjazza.
Van ilyen zártabb, meghívásos körben is, neki is volt ilyen, de nem annyira szereti, mert utána nem tud publikálni, ő pedig az utóbbit jobban szereti.
Dávid “életvitelszerűen” leginkább a webes alkalmazásokban keresi a hibát, de ebben a szakmában azért a véletlennek is lehet nagy szerepe. Ahogy a magyar – főleg online – sajtóban végigfutó 28 millió forintos hiba története is kezdődött.
Egy hosszú útról, San Franciscoból ért haza, nagyon le volt merülve a mobilja, annyira, hogy egy fontos üzenet közben ki is kapcsolt. Gyorsan felrakta töltőre, a készülék visszakapcsolt és kérte a SIM-kártya kódját.
– Nagyon siettem, be akartam fejezni a sürgős üzenetet és háromszor elrontottam a PIN-kódot. Letiltott a SIM-kártya és a telefon kérte a PUK-kódot. Nem volt könnyű megtalálni az eredeti csomagolást, kész csoda, hogy előkerült a SIM-kártya doboza, abban a PUK-kód, amit be is írtam. Utána a készülék kérte hogy válasszak egy új PIN kódot a SIM-kártyához, ezt is megtettem. És utána következett a fordulópont – emlékszik vissza Dávid.
Furcsán kezdett el viselkedni a telefonja. Bekapcsolás után mindig szükség van a mobil feloldó kódjára, nem elég az ujjlenyomat, ebben az esetben azonban az ujjlenyomatot kérte, és utána egy fura, beragadt helyzetbe került a készülék, és úgy maradt a képernyő is. Újraindítással végül megoldott mindent, de elkezdett motoszkálni benne, hogy ez nem a normális viselkedés. Felmerült, hogy ez talán nem csak funkcionális hiba, hanem biztonsági problémát is okozhat.
Persze, itt már kellett az, hogy a szakmában dolgozzon és ez egyáltalán feltűnjön neki.
– Nagyon erős belső nyomást éreztem, ezt ne hagyjam annyiban, ahogy máskor is, tudom, ez egy kicsit kényszeres késztetés is – ismeri el Dávid, hozzátéve, nem akar egy biztonsági hibát otthagyni, úgy véli, hogy ezt nem teheti meg.
Másnap, egy kicsit magával is küzdve elkezdte tüzetesebben is megnézni a hibát. Akkor tűnt fel, hogyha nem indítja újra a telefont és úgy állítja vissza a SIM-kártya kódját a PUK-kóddal, akkor nem lefagy a telefon, hanem feloldódik.
– Nem hittem el, kétszer is megpróbáltam újra, a végén már kicsit remegő kézzel. Azután megnéztem egy régi telefonommal, azon is meg tudtam csinálni, és akkor már tudtam, hogy ez egy több eszközt érintő hiba – emlékszik vissza, megjegyezve, ez volta egyik a legegyszerűbb hiba, amit talált. Egy “támadó” egyszerűen hozhatja a saját SIM-kártyáját, amihez tudja a PUK-kódot, és valakinek a telefonjába helyezve a fenti lépések megismétlésével feloldhatja a telefon képernyőzárját, anélkül hogy tudná a feloldó kódot.
Egy óra múlva már jelezte a Google-nak, vagyis szinte azonnal beküldte. Gyorsan 34 percen belül befogadták és utána viszont nagy csend lett.
– Nem nagyon reagáltak, egy hónappal később azt az üzenetet kaptam, hogy a hibát már más is beküldte korábban. Mivel mindig csak a hiba első beküldőjének fizetnek, nagyon valószínű volt, hogy nulla pénz lesz. De mivel ilyen súlyos volt a hiba, erőltettem és többször is rákérdeztem. Régóta hekkelem a Google termékeit, egy szeptemberi rendezvényük alatt is kipróbáltam, a legfrissebb verzión is működött – mondja.
Az ügyet az gyorsíthatta meg, hogy a Google mérnökei előtt, élőben is produkálta a hibát, igaz, kicsit vicces körülmények között. Nem volt igazi kiszedő tű a keze ügyében, és egy normál tűvel kellett kiszednie a SIM-kártyát. Amivel aztán úgy megszúrta a kezét, hogy be kellett kötözni. Végül az egyik hölgy fülbevalója bizonyult hasznos és a célra tökéletesen megfelelő eszköznek.
– A mi szakmánkban a 90 napot illik megvárni, és csak az után szoktuk publikálni a hibát, de ezen is túl voltunk már. Ezt is jeleztem a Google felé, de azt mondták, hogy csak decemberben lesz kijavítva. Azután mégis megszerveztek egy konferenciahívást, elismerték, hogy ez azért sürgősebb, és november elején meg is történt a hiba kijavítása – mesél az ügy lezárásáról Dávid.
Ha valakinek a hibával érintett rendszer fut a telefonján, annak érdemes ráfrissíteni és az új verzióval már nem törhető fel ilyen egyszerűen a mobilja. Ha a “November 5, 2022” nevű “Android biztonsági frissítés”-t mutat a telefon, akkor ez a hiba már javítva van. Ha korábbi, akkor viszont nem biztos.
Dávid szerint van olyan gyártó, amelyik még nem adta ki ezt a frissítést, de bízik abban, hogy ami késik, az nem múlik.
Aki szakmabeli, illetve a fentieknél is többet akar tudni a hibafeltárás részleteiről, az eredeti angol nyelvű blog posztot itt találja meg.
A 28 milliós történet mellett az egyik legfrissebb hír Dávidról, hogy elbúcsúzott a Szegedi Menetrend Bot, ami 2017 áprilisában, egy Sajka utcai megállóban, a buszra várva született egyszerű ötletből indult el.
– Szerettem volna tudni, mikor jön a busz, de csak a Messenger alkalmazás volt éppen a telefonomon. Tudtam, hogy léteznek automatikusan válaszoló Messenger chatbotok, és gondoltam, miért ne rakjuk össze a kettőt, és csináljunk egy olyan botot, ami megmondja a buszok menetrendjét, és megválaszolja: mikor jön a busz? Laci és én még aznap nekikezdtünk a fejlesztésnek, és öt napon belül el is készültünk az első működő prototípussal – emlékszik vissza Dávid.
Itt vége is lehetne a történetnek, de nem lett, elküldött egy e-mailt öt különböző hírportálnak, de csak egy méltatta válaszra – a Délmagyarország újságírója, Dombai Tünde meghívta a két fiút egy interjúra. Utána „berobbantak”, ami nem csoda, a cikk címe ugyanis így hangzott: Nem volt Dávidnál menetrend, kitalált egyet. Írtak róluk 24.hu-ban, a HVG-ben, megjelentek az M1-en, és még sok más felületen, izgalmas időszak volt mindkettőjüknek.
– Eltelt 6 év, és sok minden megváltozott. Elballagtunk a középiskolából, jártunk egyetemre, dolgoztunk. Elindultunk külön utakon, és ezekben most az látszik közösnek, hogy mind a ketten eltávolodunk Szegedtől. Emiatt, illetve azért is, mert a bot különféle technikai nehézségek miatt már hónapok óta nem is működött, úgy döntöttünk, itt az ideje hogy lezárjuk ezt a korszakot. Köszönjük, hogy több ezren velünk közlekedtetek Szegeden. Aláírás: Laci és Dávid
Kovács András