Микроскандал тут случился между Google и Apple когда выяснилось, что инженер последней нашел в браузере Chrome уязвимость "нулевого дня" и... не стал о ней сообщать. В итоге о ней сообщил другой разработчик и получил от Google премию в размере 10 тысяч долларов. Объяснения причем от сотрудника Apple были весьма невнятные. Историю рассказывает TechCrunch.

По словам Google, изначально ошибка была обнаружена сотрудником Apple, который участвовал в хакерском соревновании Capture The Flag (CTF) в марте этого года. Однако этот участник сообщать об ошибке в Google не стал.

"Об этой проблеме сообщил sisu из CTF-команды HXP, а обнаружил ее член команды Apple Security Engineering and Architecture (SEAR) во время HXP CTF 2022", — говорится в блоге Google.

Журналисты TechCrunch просмотрели канал Discord, где человек, представлявшийся сотрудником Apple и обнаруживший уязвимость, объяснил свою версию истории — в частности, причину, по которой он сразу не сообщил об ошибке.

"Мне потребовалось 2 недели работы, чтобы найти причину [уязвимости], написать концепт эксплойта и описать проблему так, чтобы ее можно было исправить", — написал 6 июля человек под ником Gallileo, отвечая на комментарий Sisu (кто сообщил в Google об уязвимости).

"Сообщение об этом поступило 5 июня через мою компанию. Да, это было поздно, причин тому несколько. Сначала мне нужно было найти ответственного, отчет должен был быть подписан разными людьми, а потом ответственный оказался в отпуске. Похвально, что Chrome решил исправить ситуацию как можно скорее, но я думаю, что реальной срочности не было. Только вы и моя команда знали об этом, и проблема, скорее всего, не так уж велика в реальном мире (не работает на Android, довольно заметна, поскольку на несколько секунд замораживает графический интерфейс Chrome)", - написал Gallileo.

Представитель Google Эд Фернандес сообщил TechCrunch по электронной почте, что "по их мнению, уязвимость является общедоступной" (то есть, ее могли использовать).

В первоначальном сообщении от 26 марта сообщалось, что ошибка была обнаружена кем-то из команды COPY во время CTF, организованного командой HXP. Человек, имя которого в сообщении не раскрывается, сказал, что решил сообщить об ошибке, хоть и не нашел ее сам, поскольку "не был на 100% уверен, что о ней сообщили команде разработчиков Chrome".

"Поскольку именно вы сообщили об этой проблеме и дубликатов нет, похоже, что команда, обнаружившая эту проблему, решила не сообщать о ней нам?" - написал сотрудник Google в другом комментарии к сообщению об ошибке.

Согласно сообщению об ошибке, она была устранена уже 29 марта. Компания Google решила выплатить 10 тысяч долларов в качестве вознаграждения за ошибку тому, кто сообщил о ней, но, опять же, не тому, кто ее обнаружил.

И может быть особой беды в такой коммуникацией между разработчиками нет, кроме... вопроса этики?

2 минуты

21 июля 2023