گوگل می گوید کارمند اپل روز صفر را پیدا کرده اما آن را گزارش نکرده است
به گزارش اپ خونه، بر اساس نظرات در گزارش رسمی باگ، گوگل یک روز صفر در کروم را که توسط یکی از کارمندان اپل پیدا شده بود، برطرف کرد .
در حالی که این اشکال به خودی خود ارزش خبری ندارد، شرایط چگونگی یافتن این باگ و گزارش آن به گوگل، حداقل، عجیب و غریب است.
به گفته یکی از کارمندان گوگل ، این باگ در اصل توسط یکی از کارمندان اپل که در رقابت هک Capture The Flag (CTF) در ماه مارس شرکت کرده بود، پیدا شد.
اما آن کارمند اپل این باگ را گزارش نکرد، که در آن زمان یک روز صفر بود – به این معنی که گوگل از این باگ آگاه نبود و هنوز هیچ وصلهای صادر نشده بود.
در عوض، این باگ توسط شخص دیگری گزارش شده است که در مسابقه شرکت کرده است، در واقع خود باگ را پیدا نکرده و حتی در تیمی که باگ را پیدا کرده است، حضور نداشته است.
کارمند گوگل نوشت: «این مشکل توسط sisu از تیم CTF HXP گزارش شد و توسط یکی از اعضای مهندسی و معماری امنیتی اپل (SEAR) در طول HXP CTF 2022 کشف شد.»
پس از انتشار این داستان، TechCrunch یک کانال Discord را مشاهده کرد که در آن شخصی که ادعا میکرد کارمند اپل است که در ابتدا روز صفر را پیدا کرده بود، در پاسخ به Sisu، شخصی که باگ را به گوگل گزارش داد، جنبهی خود را از ماجرا توضیح داد، بهویژه دلیل اینکه چرا فوراً باگ را گزارش نکردند.
فردی که گالیله نام دارد، در ۶ ژوئیه نوشت: «۲ هفته تمام وقت روی آن کار کردم تا ریشهیابی کنم، [اثبات] [اثبات مفهوم] را بنویسم و مشکل را طوری بنویسم که بتوان آن را برطرف کرد.»
“این در ۵ ژوئن از طریق شرکت من گزارش شد. بله دیر بود، دلایل متعددی برای آن وجود دارد. ابتدا باید فرد مسئول را پیدا می کردم، گزارش باید توسط افراد امضا می شد و سپس مسئول آن OOO بود. قابل ستایش است که کروم تصمیم گرفت در اسرع وقت آن را تعمیر کند، اما فکر می کنم هیچ فوریتی وجود نداشت.
فقط شما و تیم من از آن آگاه بودید و این مشکل احتمالاً در یک سناریوی دنیای واقعی آنقدرها هم بزرگ نیست (در اندروید کار نمی کند، بسیار قابل مشاهده است زیرا رابط کاربری گرافیکی کروم را برای چند ثانیه ثابت می کند)”
سخنگوی گوگل، اد فرناندز، در ایمیلی گفت که “درک ما در مورد باگ عمومی است.”
فرناندز نوشت: «توصیه میکنیم برای جزئیات بیشتر با اپل تماس بگیرید.»
به گفته فیلیپو کرمونز، محققی که با تیم ایتالیایی mhackeroni در مسابقات CTF شرکت می کند ، که اتفاقاً ممکن است بهترین نام تیم هکری باشد، برای تیم های CTF و بازیکنان CTF، در طول مسابقات، به ویژه در چالش هایی از این نوع و مسابقاتی که “پرمخاطب” هستند، غیر معمول نیست.
چیزی که داستان این باگ را جالب می کند این است که ظاهراً توسط یکی از کارمندان اپل در یکی از محصولات گوگل پیدا شده است و – بنا به دلایلی – آن کارمند اپل تصمیم گرفت این اشکال را گزارش نکند.
در گزارش اصلی در ۲۶ مارس، شخصی که آن را گزارش کرد گفت که این اشکال توسط فردی در تیم COPY در طول یک CTF سازماندهی شده توسط تیم HXP پیدا شده است .
فردی که نامش در این گزارش فاش نشده است، گفت که تصمیم گرفتند حتی اگر خودشان آن را پیدا نکردند، آن را گزارش کنند زیرا “۱۰۰٪ مطمئن نبودند که به تیم کروم گزارش شده است.”
کارمند گوگل در نظر دیگری به گزارش اشکال نوشت..
“از آنجایی که شما کسی هستید که این موضوع را فاش می کند و هیچ مورد تکراری وجود ندارد، به نظر می رسد تیمی که این موضوع را کشف کرده است تصمیم گرفته است آن را برای ما فاش نکند؟”
بر اساس گزارش باگ، این باگ در ۲۹ مارس برطرف شد. گوگل تصمیم گرفت ۱۰۰۰۰ دلار به عنوان جایزه باگ به فردی که آن را گزارش کرده است، اعطا کند، کسی که دوباره آن را پیدا نکرده است.