Magazín · Novinky · v pondělí 24. 7. 2023 13:00
Zaměstnanec Applu našel zero-day zranitelnost uvnitř Google Chrome, ale nenahlásil ji
Když vychází nová verze aplikace, častokrát se v ní nachází chyby, ke kterým ještě neexistují opravy, jelikož o nich vývojářský tým neví – jde o tazkvané zero-day zranitelnosti. Světoznámé softwarové společnosti častokrát vyplácí za jejich nalezení tučné odměny, protože při využití hackery by mohly vést k daleko vyšší finanční ztrátě. Jedné takové chyby si měl uvnitř prohlížeče Google Chrome všimnout zaměstnanec Applu, ale nenahlásil ji.
O skutečnosti informoval zpravodajský server TechCrunch, a to na základě komentářů v oficiální zprávě nahlašovacího systému Chromia. Blíže nespecifikovaný zaměstnanec Applu z týmu Apple Security Engineering and Architecture (SEAR) chybu nalezl během březnové hackerské soutěže Capture The Flag, ale o chybě nedal Googlu vědět. Hlášení bylo posléze podáno někým, kdo bug sám neobjevil a současně se nenacházel ani v týmu, který jej našel.
„Tento problém nahlásil/a sisu z CTF týmu HXP a objevil ho člen týmu Apple Security Engineering and Architecture (SEAR) během HXP CTF 2022, což bude potvrzeno v poznámkách k bezpečnostním opravám příslušné verze stabilního kanálu při jejich aktualizaci,“ uvedla v reportu zaměstnankyně Googlu Amy Ressler.
Zdroj: Unsplash / Solen FeyissaGoogle chce účinněji bojovat proti malwaru v Obchodu Play
TechCrunch dále poznamenává, že v kanálu na nespecifikovaném Discord serveru našel zprávu od uživatele, který o sobě prohlašoval, že je oním zaměstnancem Applu. Svou verzi příběhu měl sdělit v reakci na zprávu od uživatele Sisu, který o chybě Google informoval.
„Trvalo mi dva týdny, než jsem na tom pracoval na plný úvazek, abych zjistil příčinu, napsal Proof of Concept exploit a sepsal problém tak, aby mohl být opraven,“ měl 6. července uvést údajný zaměstnanec Applu s přezdívkou Gallileo.
„Bylo to nahlášeno 5. června prostřednictvím mé společnosti. Ano, bylo to pozdě, důvodů je více. Nejprve jsem musel najít odpovědnou osobu, hlášení muselo být podepsáno lidmi a pak byla odpovědná osoba OOO [mimo kancelář, pozn. red.]. Je chvályhodné, že se to Chrome rozhodl co nejdříve napravit, ale myslím, že to nebylo nijak naléhavé. Věděli jste o tom jen vy a můj tým a problém pravděpodobně není v reálném světě tak velký (nefunguje na Androidu, a je docela viditelný, protože na několik sekund zamrzne grafické rozhraní Chrome),“ dodal.
Chyba byla údajně opravena 29. března a Google odměnil částkou 10 000 dolarů osobu, která jej nahlásila (nikoliv původního nálezce).