우연히 알게된 구글 픽셀 폰 잠금화면 바이패스로 9500만원($70k) 버그 보상금을 받음

 (bugs.xdavidhu.me)
4P by xguru 2022-11-11 | favorite | 댓글 3개
  • SIM PIN번호를 3회 틀린 경우, PUK(Personal Unblocking Key)를 입력해야함
    → PUK는 보통 USIM이 끼워져 있는 플라스틱 카드에 적혀있음
  • 구글 픽셀 5/6폰에서 SIM PIN을 3회 강제로 틀리고 PUK를 입력하면 기존에 폰에 설정된 비밀번호/지문 잠금화면이 패스되는 것을 발견
    → 즉, 모르는 사람이 폰을 가져가 SIM을 교체한뒤 PIN을 강제로 틀린후 PUK로 해제하면 잠금화면을 넘어갈 수 있다는 것
  • 구글에 알렸지만 대응이 늦었고, 여러번 알린 후에야 패치가 나왔음
    → 락스크린 바이패스는 최대 $100k(1억4천만원)까지 받을 수 있지만, 기존에 제보된 버그여서 보상금은 $0
    → 하지만, 이 사람이 여러번 보고서를 올려서 빠르게 수정이 진행되었다고 예외로 인정, $70k를 주는 것으로 결정되었다고
draupnir 2022-11-12  [-]

구글은 참… 많이 걸러서 봐야 되는 회사인거 같아요

답변달기
roxie 2022-11-11  [-]

"여러번 올려서 빠르게 수정이 되었다"라...

답변달기
ffdd270 2022-11-11  [-]

여러번 알렸던 것 중에 직접 구글 엔지니어를 만나서 알린 것도 놀라웠고. 이런 심각한 버그를 몇 달 방치하다 12월에 고치려다 11월에 고쳤던 것도 놀라웠고, 어디 스타트업이 아니라 구글이라서 놀라웠습니다(... )

답변달기