ماجرای پنهان‌کاری کارمند اپل در مورد آسیب‌ پذیری روز صفر کروم

گوگل مدعی است که یکی از کارمندان اپل یک آسیب‌ پذیری روز صفری در کروم کشف کرده، اما تصمیم گرفته است که آن را با این شرکت به اشتراک نگذارد.

شرکت‌های فناوری اغلب با گزارش آسیب‌پذیری‌های روز صفر (Zero-Day) یافت‌شده توسط محققان امنیتی، به یکدیگر کمک می‌کنند تا سیستم‌های امنیتی خود را بهبود بخشند. گوگل یکی از شرکت‌هایی است که این کار را زیاد انجام می‌دهد. اما براساس ادعای گوگل، یکی از کارمندان اپل اخیراً آسیب‌ پذیری صفرروزه‌ای در نسخه‌ iOS کروم پیدا کرد و جزئیات آن را هرگز دردسترس گوگل قرار نداد.

به‌روزرسانی اخیر مرورگر وب گوگل‌ کروم آسیب‌پذیری صفرروزه را برطرف می‌کند. شرکت‌ها معمولاً اعلام می‌کنند که چه کسی این آسیب‌پذیری را کشف و چگونه آن را رفع کرده است. اما توضیحات مربوط به آسیب‌پذیری جدید بسیار جالب است. زیرا گوگل ادعا می‌کند که اولین‌بار یکی از کارمندان اپل آسیب‌پذیری مذکور را کشف کرده است.

به‌طور دقیق، این باگ زمانی پیدا شد که کارمند اپل در یک مسابقه هک موسوم به «Capture The Flag» یا «CTF» در ماه مارس شرکت می‌کرد. هنگامی که این آسیب‌پذیری یافت شد، روزصفر بود. به عبارت دیگر، هیچ کس تا آن لحظه از وجود باگ مذکور خبر نداشت. در حالی که گوگل اکنون این آسیب‌پذیری را برطرف کرده، محقق امنیتی اپل در این ماجرا هیچ کمکی نکرده است.

کارمند گوگل در وبلاگی که به پلتفرم کروم اختصاص داده شده، نوشت: این مشکل توسط sisu از تیم CTF HXP گزارش شد و یکی از اعضای مهندسی و معماری امنیتی اپل (SEAR) در طول HXP CTF 2022 آن را کشف کرد.

اظهارات کارمند اپل درمورد باگ اخیر کروم

در یکی از صفحات چت دیسکورد که اسکرین‌شات‌هایش به بیرون درز کرد، شخصی که ادعا می‌کند کارمند اپل است و این باگ را پیدا کرده، می‌گوید: هیچ ضرورتی برای رفع سریع این باگ وجود نداشت. این شخص توضیح داد که فقط تیم تحقیقاتی امنیتی اپل از این آسیب‌پذیری اطلاع داشتند. از نظر او، در یک سناریوی واقعی، هکرها به سادگی نمی‌توانستند به جزئیات دست پیدا کنند.

علاوه بر این، این کارمند ادعا کرد که باگ موردبحث در تاریخ 5 ژوئن به گوگل گزارش شده است. او می‌گوید تأخیر در تحویل به این دلیل بوده که سند مذکور باید توسط چند نفر امضا می‌شد.

شرکت‌های اپل، گوگل و حتی کارمندان آنها تا این لحظه در مورد اتفاق اخیر اظهار نظر نکردند. اما این موضوع می‌تواند منجر به اختلاف نظر بین تیم‌های امنیتی دو شرکت شود. در اوایل سال جاری، اپل از مایکروسافت برای کشف آسیب‌پذیری‌ روز صفر در macOS، تشکر کرد. همچنین، خیلی اوقات به محققان گوگل برای یافتن آسیب‌پذیری‌های روزصفر در پلتفرم‌های اپل اعتبار داده می‌شود.

• ارائه آپدیت دستگاه های قدیمی اپل برای برطرف سازی آسیب پذیری امنیتی
• هشدار Progress Software برای خطر آسیب پذیری نرم افزار Moveit
• باگ‌ Windows Defender که سال‌ها عملکرد فایرفاکس را تضعیف می‌کرد برطرف شد!
• باگ جدید توییتر: توییت های حذف‌شده بازیابی می‌شوند