偶然見つけたGoogle Pixelスマホのロック画面バイパスで9500万円($70k)のバグ報奨金を獲得
(bugs.xdavidhu.me)- SIMのPIN番号を3回間違えると、PUK(Personal Unblocking Key)の入力が必要になる
→ PUKは通常、USIMがはめ込まれているプラスチックカードに記載されている - Google Pixel 5/6でSIM PINを3回強制的に間違えた後にPUKを入力すると、もともと端末に設定されていたパスワード/指紋によるロック画面を回避できることを発見
→ つまり、知らない人が端末を持ち去ってSIMを交換し、PINを強制的に間違えた後にPUKで解除すれば、ロック画面を突破できるということ - Googleには報告したが対応が遅く、何度も知らせた後になってようやくパッチが公開された
→ ロック画面バイパスは最大$100k(約1億4000万円)まで受け取れるが、既報のバグだったため報奨金は$0
→ ただし、この人が何度もレポートを提出したことで迅速な修正につながったと例外的に認められ、$70kが支払われることになったという
3件のコメント
Googleは本当に……かなり差し引いて見ないといけない会社な気がします
「何度も投稿したので、すぐに修正された」と…
何度も知らせていた中で、直接Googleのエンジニアに会って伝えたというのも驚きでしたし。こんな深刻なバグを何か月も放置して、12月に修正しようとしていたのを11月に直したというのも驚きでしたし、どこかのスタートアップではなくGoogleだったので驚きました(...)