Envoyé par
David Schütz
J'ai envoyé le rapport. Je pense que c'était mon rapport le plus court jusqu'à présent. Il n'a fallu que 5 étapes simples.
Après qu'il ait été examiné, il y a eu essentiellement un mois de silence. J'ai entendu dire qu'il pourrait en fait être fermé comme un doublon. Apparemment, quelqu'un l'avait déjà signalé auparavant, même si c'est mon rapport qui les a fait agir. Il semble que quelque chose se soit mal passé dans le traitement du rapport original. En effet, 31 jours après avoir signalé le problème, j'ai reçu un courriel automatique indiquant que "l'équipe chargée de la sécurité d'Android estime qu'il s'agit d'un doublon d'un problème précédemment signalé par un autre chercheur externe". C'était un peu le moment de la signature du bug bounty, un bug passant de 100 000 dollars à 0 dollar. Je ne pouvais pas vraiment faire autre chose qu'accepter le fait que ce bug est maintenant un doublon et ne paiera pas.
Presque deux mois se sont écoulés après mon rapport, et il n'y avait que du silence. Le 59e jour, j'ai envoyé un message au ticket, demandant une mise à jour du statut. J'ai reçu une réponse type disant qu'ils travaillaient toujours sur la correction. Trois mois après mon rapport, j'étais à Londres pour assister à l'événement chasse-bugs de Google appelé ESCAL8. Le correctif de septembre 2022 venait de sortir, j'ai mis à jour mon téléphone et, une nuit dans ma chambre d'hôtel, j'ai essayé de reproduire le bug. J'espérais qu'ils l'avaient déjà corrigé. Non. J'étais toujours capable de déverrouiller le téléphone.
Cet incident dans la chambre d'hôtel m'a vraiment fait peur. J'avais l'impression de m'inquiéter et de me soucier beaucoup plus de la correction du bug que de Google lui-même. Ce qui ne devrait pas être le cas. Même si je réagis de manière excessive. Cette nuit-là, j'ai commencé à contacter d'autres Googlers qui étaient présents à l'événement avec nous.
Le lendemain, j'ai fini par expliquer ma situation à plusieurs personnes, et j'ai même fait une démonstration en direct avec certains des Pixel dans les bureaux de Google. Par la suite, ils m'ont dit que même si mon rapport était un doublon, ce n'était qu'à cause de mon rapport qu'ils avaient commencé à travailler sur la correction. C'est pourquoi ils ont décidé de faire une exception et de récompenser 70 000 dollars pour le contournement de l'écran de verrouillage. J'ai également décidé (avant même la prime) que j'avais trop peur de publier le bogue en direct et que, comme la correction était prévue dans moins d'un mois, cela n'en valait pas vraiment la peine. J'ai décidé d'attendre la correction.
Partager