Сотрудник Apple нашел в Chrome уязвимость «нулевого дня» и промолчал. За неё получил $10 000 другой разработчик, который рассказал о ней Google. Как сообщает издание TechCrunch, сотрудник Apple попытался оправдаться, но его объяснения сочли неубедительными.

Скандал разгорелся между Google и Apple, когда стало известно, что один из инженеров в Купертино обнаружил в Chrome серьёзную уязвимость и не сообщил о ней разработчикам браузера. В результате об уязвимости узнал другой программист, который участвовал в хакатоне Capture The Flag (CTF) в марте этого года, и рассказал о ней Google, получив за это $10 000.

Как сообщают в своём блоге разработчики Chrome, уязвимость была найдена членом команды Apple Security Engineering and Architecture (SEAR), но сотрудник решил не делиться своим открытием. О ней рассказал другой разработчик из команды.

Журналисты TechCrunch изучили чат Discord, где человек под псевдонимом Gallileo, якобы сотрудник Apple, рассказал свою версию событий и почему он не сообщил об уязвимости сразу.

Он написал, что ему потребовалось две недели, чтобы выяснить причину уязвимости, написать код для её эксплуатации и описать проблему так, чтобы её можно было исправить. Он также сказал, что сообщил об уязвимости через свою компанию 5 июня, но это было поздно по ряду причин: ему нужно было найти ответственного, отчёт должен был быть подписан разными людьми, а потом ещё и ответственный ушёл в отпуск.

Он добавил, что разработки браузера правильно поступили, решив исправив уязвимость как можно скорее, но он считает, что реальной опасности не было.

«Сообщение об этом поступило 5 июня через мою компанию. Да, это было поздно, причин тому несколько. Сначала мне нужно было найти ответственного, отчёт должен был быть подписан разными людьми, а потом ответственный оказался в отпуске. Похвально, что Chrome решил исправить ситуацию как можно скорее, но я думаю, что реальной срочности не было. Только вы и моя команда знали об этом, и проблема, скорее всего, не так уж велика в реальном мире (не работает на Android, довольно заметна, поскольку на несколько секунд замораживает графический интерфейс Chrome)», – написал Gallileo.

Однако представитель Google Эд Фернандес рассказал TechCrunch, что они считают уязвимость общедоступной (то есть, её могли использовать злоумышленники).

В первом сообщении от 26 марта говорилось, что уязвимость была найдена кем-то из команды COPY во время CTF, который организовала команда HXP. Человек, чьё имя не указывается в сообщении, сказал, что решил сообщить об ошибке, хоть и не нашел её сам, поскольку «не был на 100% уверен, что о ней сообщили команде разработчиков Chrome».

«Получается, что вы первый сообщили об этой проблеме и нет дубликатов. Значит ли это, что команда, которая нашла проблему, решила не сообщать о ней нам?» – написал сотрудник Google в другом комментарии к сообщению об уязвимости.

Согласно сообщению об ошибке, она была устранена уже 29 марта. Компания Google решила выплатить $10 000 в качестве вознаграждения за ошибку тому, кто сообщил о ней, но не тому, кто её обнаружил.


Ещё по теме: