حددت Google يوم صفر في Chrome اكتشفه موظف في Apple ، وفقًا لتعليقات تقرير الشوائب الرسمية. في حين أن الخطأ نفسه لا يستحق النشر ، فإن الظروف التي تم العثور على هذا الخطأ فيها وإبلاغ Google بها ، على أقل تقدير ، غريبة.
وفقًا لأحد موظفي Google، تم اكتشاف الخطأ في الأصل من قبل موظف Apple الذي كان يشارك في مسابقة قرصنة Capture The Flag (CTF) في مارس. لكن هذا الموظف في شركة Apple لم يبلغ عن الخطأ ، والذي كان وقتها صفرًا ، مما يعني أن Google لم تكن على علم بالخلل ولم يتم إصدار أي إصلاح بعد. بدلاً من ذلك ، تم الإبلاغ عن الخطأ بواسطة شخص آخر شارك أيضًا في المسابقة ، ولم يعثر على الخطأ بنفسه ، ولم يكن حتى جزءًا من الفريق الذي اكتشف الخطأ.
كتب موظف Google: “تم الإبلاغ عن هذه المشكلة بواسطة sisu من فريق HXP CTF واكتشفها أحد أعضاء Apple Security Engineering and Architecture (SEAR) خلال HXP CTF 2022”.
بعد نشر هذه القصة لأول مرة ، قام موقع TechCrunch بفحص قناة Discord حيث قام شخص يدعي أنه موظف Apple الذي وجد في الأصل Day Zero بشرح جانبه من القصة ، وتحديداً لماذا لم يبلغوا عن الخطأ على الفور ، رداً على Sisu ، الشخص الذي أبلغ Google عن الخطأ.
“لقد استغرقت أسبوعين من العمل بدوام كامل للعثور على السبب الجذري ، اكتب [the] يستغل [Proof of Concept] واكتب المشكلة حتى يمكن حلها “، كتب الشخص الذي يمر عبر جاليليو في 6 يوليو.
“تم الإبلاغ عن ذلك في الخامس من يونيو ، من خلال شركتي. نعم ، كان الوقت متأخرًا ، وهناك عدة أسباب لذلك. كان علي أن أجد الشخص المسؤول أولاً ، وكان لابد من توقيع التقرير من قبل الأشخاص ، ثم كان الشخص المسؤول هو OOO. ومن الجدير بالثناء أن Chrome قرر إصلاحه في أقرب وقت ممكن ، لكنني أعتقد أنه لم يكن هناك حاجة ملحة حقيقية. فقط أنت وفريقي كانوا على دراية بذلك ، وربما كانت المشكلة ليست سيئة جدًا في Chrome. كتب جاليليو.
لم يستجب جاليليو وسيسو لطلب التعليق.
لم ترد شركة آبل على طلب للتعليق.
قال المتحدث باسم Google ، إد فرنانديز ، لموقع TechCrunch في رسالة بريد إلكتروني أن “فهمنا علني في الخطأ”.
كتب فرنانديز: “نوصي بالاتصال بشركة Apple للحصول على مزيد من التفاصيل”.
ليس من غير المألوف أن تجد فرق CTF ولاعبي CTF صفر أيام في المسابقات ، خاصة في التحديات من هذا النوع والمسابقات “عالية المستوى” ، بحسب فيليبو كريمونيزي ، الباحث الذي يشارك في مسابقات CTF مع الفريق الإيطالي. ماكرونيالذي ربما يكون أفضل اسم فريق قراصنة على الإطلاق.
ما يجعل قصة هذا الخطأ مثيرة للاهتمام هو أنه تم العثور عليه على ما يبدو بواسطة أحد موظفي Apple في أحد منتجات Google ، ولسبب ما قرر موظف Apple عدم الإبلاغ عن الخطأ.
في التقرير الأصلي في 26 مارس ، قال الشخص الذي أبلغ عن الخطأ أنه تم العثور على الخطأ بواسطة شخص من فريق COPY خلال CTF نظمها الفريق HXP. قال الشخص ، الذي لم يتم الكشف عن اسمه في التقرير ، إنه قرر الإبلاغ عن ذلك على الرغم من أنه لم يعثر عليه بأنفسهم لأنهم “لم يكونوا متأكدين بنسبة 100٪ مما إذا كان قد تم إبلاغ فريق الكروم”.
كتب الشخص “لذلك أردت أن أكون آمنًا”.
“بما أنك الشخص الذي يكشف عن هذه المشكلة ولا توجد تكرارات ، يبدو أن الفريق الذي اكتشف هذه المشكلة اختار عدم الكشف عنها لنا؟” كتب موظف Google في تعليق آخر على تقرير الخطأ.
تم إصلاح الخلل في 29 مارس ، وفقًا لتقرير الخطأ. قررت Google منح 10000 دولار كمكافأة خطأ إلى الشخص الذي أبلغ عنها ، وهو مرة أخرى ليس الشخص الذي وجدها.
تحديث ، 20 يوليو ، 2:30 مساءً بالتوقيت الشرقي: تم تحديث هذه القصة لتشمل رسائل Discord التي نشرها الشخص الذي يدعي أنه اكتشف الخطأ في الأصل.