In una svolta inaspettata degli eventi, un dipendente Apple scopre un bug critico nel browser Chrome di Google durante una competizione di hacking. Il dipendente ha, però, taciuto sulla scoperta, alimentando speculazioni sulle motivazioni alla base del suo silenzio.
In una mossa che ha sorpreso l’intera industria tecnologica, un dipendente della Apple ha scoperto un bug zero-day nel browser Chrome di Google, ma ha scelto di non divulgare le informazioni all’azienda di Mountain View. Il dipendente Apple ha scoperto la vulnerabilità durante una competizione di hacking denominata Capture The Flag (CTF), tenutasi a marzo.
La situazione si è sviluppata in modo curioso, con il dipendente Apple che ha scoperto il bug di Chrome, ma che ha deliberatamente omesso di informare Google al riguardo. Un dipendente Google ha confermato la scoperta, affermando che il partecipante Apple era a conoscenza del bug ma non ha avvisato l’azienda. Solo quando un altro partecipante al concorso ha riferito la questione, Google ha potuto risolvere la vulnerabilità.
Secondo quanto riportato da TechCrunch, le prove dell’individuazione del bug zero-day da parte del dipendente Apple si trovano nel report ufficiale del bug: “Questo problema è stato segnalato da sisu del team CTF HXP e scoperto da un membro dell’Apple Security Engineering and Architecture (SEAR) durante l’HXP CTF 2022, che sarà riconosciuto nelle note di correzione della sicurezza per l’appropriata release del canale stabile al momento dell’aggiornamento”.
Più tardi, TechCrunch ha scoperto un canale Discord in cui un utente chiamato Gallileo ha rivelato di essere il dipendente Apple che ha taciuto sulla scoperta a Google. Gallileo ha condiviso i suoi motivi per non informare il gigante della pubblicità, ammettendo anche il ritardo nel comunicare i dettagli cruciali all’ente competente.
Ha spiegato: “Mi ci sono volute 2 settimane di lavoro a tempo pieno per individuare le cause, scrivere [l’exploit] [Proof of Concept] e redigere il problema in modo da poterlo risolvere. È stato segnalato il 5 giugno, tramite la mia azienda. Sì, era in ritardo, e le ragioni sono molteplici…”
Nonostante sia comune che i partecipanti a Capture The Flag scoprono vulnerabilità zero-day durante le competizioni, la storia assume un sapore particolarmente intrigante dal momento che la scoperta è stata fatta da un dipendente di una società concorrente. Ciò lascia spazio a molte speculazioni, indipendentemente dalla veridicità delle motivazioni addotte da Gallileo per il suo silenzio. C’è da chiedersi se la decisione di non rivelare la scoperta a Google sia stata motivata da un senso di lealtà nei confronti del proprio datore di lavoro, Apple.