Google dice que un empleado de Apple encontró el día cero pero no lo informó

Créditos de la imagen: S3studio/imágenes falsas/imágenes falsas

Google ha corregido un día cero en Chrome descubierto por un empleado de Apple, según los comentarios oficiales del informe de error. Si bien el error en sí no es de interés periodístico, las circunstancias en las que se encontró este error y se informó a Google son, por decir lo menos, peculiares.

Según un empleado de Google, el error fue descubierto originalmente por un empleado de Apple que participaba en un concurso de piratería Capture The Flag (CTF) en marzo. Pero ese empleado de Apple no informó el error, que en ese momento era de día cero, lo que significa que Google no estaba al tanto del error y aún no se había publicado ninguna solución. En cambio, el error fue informado por otra persona que también participó en el concurso, no encontró el error por sí mismo y ni siquiera era parte del equipo que lo encontró.

«Este problema fue informado por sisu del equipo HXP CTF y descubierto por un miembro de Apple Security Engineering and Architecture (SEAR) durante HXP CTF 2022», escribió el empleado de Google.

Después de que esta historia se publicó por primera vez, TechCrunch revisó un canal de Discord donde alguien que decía ser el empleado de Apple que originalmente encontró el día cero explicó su versión de la historia, específicamente por qué no informaron el error de inmediato, en respuesta a sisu, la persona que informó el error a Google.

«Me tomó 2 semanas de trabajo a tiempo completo para encontrar la causa raíz, escribir [the] explotar [Proof of Concept] y escribir el problema para que se pueda resolver”, escribió la persona, que pasa por Gallileo, el 6 de julio.

«Se informó el 5 de junio a través de mi empresa. Sí, era tarde, hay varias razones para ello. Primero tenía que encontrar a la persona responsable, el informe tenía que ser firmado por personas, luego la persona responsable era OOO. Es encomiable que Chrome decidiera arreglarlo lo antes posible, pero creo que no había una urgencia real. Solo usted y mi equipo estaban al tanto y el problema probablemente no sea tan grave en un escenario real (no funciona en Android, bastante segundos)”, escribió Gallileo.

Ni Gallileo ni Sisu respondieron de inmediato a una solicitud de comentarios.

Apple no respondió a una solicitud de comentarios.

El portavoz de Google, Ed Fernandez, le dijo a TechCrunch en un correo electrónico que «nuestro entendimiento es público en el error».

«Nosotros [recommend] comuníquese con Apple para obtener más detalles”, escribió Fernández.

No es raro que los equipos de la CTF y los jugadores de la CTF encuentren días cero en las competencias, especialmente en desafíos de este tipo y competencias de «alto nivel», según Filippo Cremonese, investigador que participa en las competencias de la CTF con el equipo italiano. mhackeronique es posiblemente el mejor nombre de equipo de hackers de todos los tiempos.

Lo que hace que la historia de este error sea interesante es que aparentemente fue encontrado por un empleado de Apple en un producto de Google y, por alguna razón, ese empleado de Apple decidió no informar el error.

En el informe original el 26 de marzo, la persona que lo informó dijo que alguien del equipo COPY encontró el error durante un CTF organizado por el equipo xhp. La persona, cuyo nombre no se revela en el informe, dijo que decidió denunciarlo a pesar de que no lo había encontrado porque «no estaba 100% seguro de si se informó al equipo de Chrome».

«Así que quería estar a salvo», escribió la persona.

«Dado que usted es el que revela este problema y no hay duplicados, ¿parece que el equipo que descubrió este problema optó por no revelarnos?» el empleado de Google escribió en otro comentario al informe de errores.

El error se solucionó el 29 de marzo, según el informe de errores. Google decidió otorgar $ 10,000 en recompensa por errores a la persona que lo informó, que nuevamente no es quien lo encontró.

ACTUALIZACIÓN, 20 de julio, 2:30 p. m. ET: esta historia se actualizó para incluir mensajes de Discord publicados por la persona que afirma haber encontrado el error originalmente.