Dipendente Apple scopre un exploit zero-day di Chrome e non lo comunica tempestivamente a Google
Nell’ambiente tecnologico, è comune che le aziende si aiutino reciprocamente per migliorare i propri sistemi di sicurezza condividendo vulnerabilità scoperte dai ricercatori di sicurezza, i cosiddetti zero-day exploits.
Google, ad esempio, pratica spesso questa collaborazione. Ma di recente, un dipendente Apple avrebbe scoperto un exploit zero-day su Google Chrome, senza tuttavia informare l’azienda di Mountain View.
Un recente aggiornamento del browser web Google Chrome risolve un exploit zero-day. E, come di consueto, le aziende descrivono di solito chi ha scoperto l’exploit e come è stato risolto, ma questa volta la descrizione è stata piuttosto intrigante. Secondo un dipendente di Google, l’exploit è stato inizialmente scoperto da un dipendente Apple.
Nel dettaglio, il bug è stato scoperto quando il dipendente di Apple partecipava a una competizione di hacking nota come “Capture The Flag” o “CTF” a marzo. Alla scoperta, l’exploit era ancora sconosciuto a tutti – un vero zero-day. Tuttavia, sebbene Google abbia ora risolto l’exploit, non lo ha fatto grazie al ricercatore di sicurezza di Apple.
“Questo problema è stato segnalato dal team CTF HXP e scoperto da un membro del dipartimento di Sicurezza e Architettura di Apple (SEAR) durante HXP CTF 2022”, ha scritto un dipendente di Google in un blog dedicato alla piattaforma Chromium.
Il dipendente Apple che ha trovato il bug ha affermato che “non c’era una vera urgenza” nel risolvere immediatamente l’exploit. La fonte ha anche spiegato che solo il team di ricerca di sicurezza di Apple era a conoscenza dell’exploit e che non era facilmente accessibile in uno scenario del mondo reale.
Inoltre, il dipendente ha dichiarato che l’exploit è stato segnalato a Google il 5 giugno e il ritardo è stato dovuto al tempo necessario affinché più persone approvassero la segnalazione.
Né i dipendenti, né Apple, né Google hanno commentato la situazione alla stampa. Ma, ovviamente, questa situazione potrebbe causare disaccordi tra i team di sicurezza delle due aziende. All’inizio di quest’anno, Apple aveva ringraziato Microsoft per aver scoperto un exploit che poteva portare a bypassare la System Integrity Protection in macOS.
Inoltre, i ricercatori di Google Project Zero sono spesso riconosciuti per aver scoperto exploit zero-day sulle piattaforme di Apple.