Google dice que un empleado de Apple se encontró con el día cero pero no lo informó
Créditos de la imagen: S3studio/imágenes falsas/imágenes falsas
Google arregló un día cero en Chrome que fue encontrado por un empleado de Apple, según los comentarios en el informe de error oficial. Si bien el error en sí no es interesante, las circunstancias de cómo se encontró este error y se informó a Google son, por decir lo menos, peculiares.
Según un empleado de Google, el error fue encontrado originalmente por un empleado de Apple que participaba en una competencia de piratería Capture The Flag (CTF) en marzo. Pero ese empleado de Apple no informó el error, que en ese momento era un día cero, lo que significa que Google no estaba al tanto del error y aún no se ha lanzado ningún parche. En cambio, el error fue informado por otra persona que también participó en la competencia pero no encontró el error y ni siquiera estaba en el equipo que lo encontró.
«Este problema fue informado por sisu del equipo CTF HXP y descubierto por un miembro de Apple Security Engineering and Architecture (SEAR) durante el HXP CTF 2022», escribió el empleado de Google.
Después de que esta historia se publicó por primera vez, TechCrunch vio un canal de Discord donde alguien que decía ser el empleado de Apple que originalmente se encontró con el día cero explicó su versión de la historia, particularmente por qué no informaron el error de inmediato, en respuesta a Sisu, la persona que informó el error a Google.
“Me tomó 2 semanas trabajando en esto a tiempo completo para encontrar la causa, escribe [the] para explorar [Proof of Concept] y anote el problema para que se pueda solucionar”, escribió la persona, que responde por Gallileo, el 6 de julio.
“Se informó el 5 de junio, a través de mi empresa. Sí, era tarde, hay varias razones para esto. Primero tenía que encontrar al responsable, el informe tenía que ser firmado por la gente y luego el responsable era OOO. Es encomiable que Chrome haya decidido arreglarlo lo antes posible, pero no creo que haya ninguna urgencia real. Solo usted y mi equipo estaban al tanto de esto y el problema probablemente no sea tan grande en un escenario del mundo real (no funciona en Android, es bastante visible ya que congela la GUI de Chrome durante unos segundos)”, escribió Gallileo.
Gallileo y Sisu no respondieron a una solicitud de comentarios.
Apple no respondió a una solicitud de comentarios.
El portavoz de Google, Ed Fernandez, le dijo a TechCrunch en un correo electrónico que «nuestro entendimiento es público con respecto al error».
«Recomendamos contactar a Apple para obtener más detalles», escribió Fernández.
No es raro que los equipos y jugadores de la CTF encuentren días cero durante las competencias, especialmente en competencias de este tipo y competencias de “alto nivel”, según Filippo Cremonese, un investigador que participa en las competencias de la CTF con la selección italiana. mhackeronique, por cierto, puede ser el mejor nombre de equipo de piratería de todos los tiempos.
Lo que hace que la historia de este error sea interesante es que aparentemente fue encontrado por un empleado de Apple en un producto de Google y, por alguna razón, ese empleado de Apple decidió no informar el error.
En el informe original el 26 de marzo, la persona que lo informó dijo que alguien del equipo COPY encontró el error durante un CTF organizado por el equipo HXP. La persona, cuyo nombre no se revela en el informe, dijo que decidió denunciarlo a pesar de que no pudo encontrarlo porque «no estaba 100% seguro de que se informara al equipo de Chrome».
“Así que quería estar a salvo”, escribió la persona.
«Dado que está revelando este problema y no hay duplicados, ¿parece que el equipo que descubrió este problema decidió no revelarnos?» el empleado de Google escribió en otro comentario al informe de error.
El error se solucionó el 29 de marzo, según el informe de error. Google decidió otorgar una recompensa de $ 10,000 por el error a la persona que lo informó, quien, nuevamente, no fue quien lo encontró.
ACTUALIZACIÓN, 20 de julio, 2:30 p. m. ET: esta historia se actualizó para incluir mensajes de Discord publicados por la persona que afirma haber encontrado el error originalmente.