우연히 알게된 구글 픽셀 폰 잠금화면 바이패스로 9500만원($70k) 버그 보상금을 받음
(bugs.xdavidhu.me)- SIM PIN번호를 3회 틀린 경우, PUK(Personal Unblocking Key)를 입력해야함
→ PUK는 보통 USIM이 끼워져 있는 플라스틱 카드에 적혀있음 - 구글 픽셀 5/6폰에서 SIM PIN을 3회 강제로 틀리고 PUK를 입력하면 기존에 폰에 설정된 비밀번호/지문 잠금화면이 패스되는 것을 발견
→ 즉, 모르는 사람이 폰을 가져가 SIM을 교체한뒤 PIN을 강제로 틀린후 PUK로 해제하면 잠금화면을 넘어갈 수 있다는 것 - 구글에 알렸지만 대응이 늦었고, 여러번 알린 후에야 패치가 나왔음
→ 락스크린 바이패스는 최대 $100k(1억4천만원)까지 받을 수 있지만, 기존에 제보된 버그여서 보상금은 $0
→ 하지만, 이 사람이 여러번 보고서를 올려서 빠르게 수정이 진행되었다고 예외로 인정, $70k를 주는 것으로 결정되었다고
여러번 알렸던 것 중에 직접 구글 엔지니어를 만나서 알린 것도 놀라웠고. 이런 심각한 버그를 몇 달 방치하다 12월에 고치려다 11월에 고쳤던 것도 놀라웠고, 어디 스타트업이 아니라 구글이라서 놀라웠습니다(... )