Google yeni amiral gemisi telefonu Pixel’i geçtiğimiz ayın başlarında görücüye çıkarmıştı. Teknoloji dünyasından oldukça iyi yorumlar alan Pixel ve Pixel XL’in güvenlik konusundaki yetkinliğinin incelenmesi fazla zaman almadı.
Güney Kore’nin başkenti Seul’de düzenlenen PwnFest isimli hacking yarışmasına katılan ve beyaz şapkalı bilgisayar korsanlarından oluşan Qihoo 360 isimli grup, Pixel’de uzaktan kod yürütmeyi mümkün kılan bir açığı gözler önüne serdi. Çinli korsanlardan oluşan grup, 60 saniyeden kısa bir süre içinde bir “zero-day” açığından faydalanarak Google’ın cihazına uzaktan kod yüklemeyi başardı.
Qihoo 360, söz konusu açıktan faydalanarak önce Google Play Store’u çalıştırdı. Ardından Google Chrome’un mobil versiyonunu başlatan ekip, Pixel’in ekranında “Pwned by 360 Alpha Team” yazısının belirmesini sağladı.
Google Pixel açığı Qihoo 360’a 120 bin dolar kazandırdı
Qihoo 360, gün yüzüne çıkarttığı Pixel açığı sayesinde 120 bin dolarlık nakit ödüle hak kazandı. Söz konusu açık, kapatılması için Google’ın ilgili birimlerine de gönderildi.
Qihoo 360, PwnFest’ten toplam 520 bin dolar ödülle ayrılmayı başardı. Ekip, Windows 10’un internet tarayıcısı Microsoft Edge’de bulunan bir açığı da ortaya çıkardı. Buna ek olarak, Adobe Flash’ta izah edilemeyecek biçimde 10 yıldır çalışan bir açık da Qihoo 360’nın para kesesine biraz daha doldurmasına yardımcı oldu.
Yeteneklerini iyilik için kullanan korsanlardan oluşan Qihoo 360 için Güney Kore’de düzenlenen etkinliğin oldukça kârlı geçtiğini söylemek pek de yanlış olmayacaktır.
