蘋果員工發現零日漏洞,但未上報
引言
近日 Google 宣布他們在 Chrome 瀏覽器中修復了一個零日漏洞,而此漏洞原本是由蘋果的一位員工發現的。不過有趣的是,這位蘋果員工在發現漏洞後並未向 Google 報告,而是由其他參加相同競賽的人上報了這個零日漏洞。競賽中的發現
據 Google 的一位員工表示這個零日漏洞最初是在三月份的一場名為 Capture The Flag(CTF)的駭客競賽中被蘋果員工發現的。不過蘋果員工卻沒有將這個漏洞上報,這意味著 Google 並不知曉這個漏洞的存在,也並沒有針對該漏洞進行修補。 相反地,這個漏洞是由同樣參加 CTF 競賽的另一位參賽者上報的,而且該參賽者並非直接發現了這個漏洞,也不是當初發現這個漏洞的團隊的成員。Google 員工在官方漏洞報告中寫道:“這個問題是 HXP CTF 團隊的 sisu 報告的,而該問題是由蘋果資安工程和架構(SEAR)團隊的一位成員在 HXP CTF 2022 中發現的。”當前尚不清楚為何這位蘋果員工在三月份時未上報這個漏洞,蘋果方面也未對此作出回應。報告和修復
值得注意的是,這個漏洞被蘋果員工在 Google 的產品中發現,而為某種原因,該蘋果員工決定不報告這個漏洞。在三月 26 日的原始報告中,報告者表示這個漏洞是在 XHP 團隊組織的一場 CTF 競賽中由 COPY 團隊的成員發現的。與此同時報告者並未透露自己的姓名,並指出即使沒有親自發現該漏洞,他們仍然決定報告它,因為他們“無法確保是否已將此問題報告給了 chromium 團隊。”在該漏洞報告的另一個評論中,Google 員工問到:“既然你是揭露這個問題的人,並且沒有重複報告,那似乎發現此問題的團隊選擇不向我們報告,對嗎?”該漏洞在三月 29 日得到修復。競賽中的常見情況
在 CTF 競賽中,特別是在這型別的挑戰和“高知名度”的競賽中,CTF 團隊和參賽者發現零日漏洞是很常見的情況。Filippo Cremonese 是一位參與 CTF 競賽的研究員,他與義大利的 mhackeroni 團隊一起參賽。值得一提的是,這可能是有史以來最棒的駭客團隊名稱。社論
倫理與協作
這個零日漏洞的發現方式以及報告的過程引起了廣泛關注。首先蘋果員工在發現這個漏洞後未將其上報是一個令人困惑的行為。作為一家知名企業的員工,他們有道德責任將這樣的安全風險及時上報,以保護使用者和業界的安全。我們對蘋果未對此作出回應感到失望,並希望他們能對其員工的行為進行適當處理。 其次報告者對於他們並非直接發現漏洞的舉報行為則引起了一些爭議。雖然這種舉報可能是出於好意,但從道德的角度來看,它可能涉及某種程度的不應,因為它可能使原本應該報告這個漏洞的團隊失去了應得的獎勵。 有鑒於此,我們呼籲科技公司加固內部教育和倫理標準的培訓,鼓勵員工在發現漏洞時積極報告,以維護整個數位生態系統的安全。建議
透明度與合作
在這種情況下,透明度和合作是至關重要的。科技公司應該建立開放的通道,使發現漏洞的團隊和個人能夠將其及時報告給相關公司,以便進行迅速修復和獎勵。同時對於發現漏洞而未報告的情況,這些公司應該制定明確的規則和懲罰措施,以促使員工遵守道德和法律義務。加固合作
此外在這個充滿競爭和挑戰的數位時代,跨公司和跨國界的合作變得越來越重要。科技公司應該積極促進合作,共同努力解決共同的安全問題,而不是僅僅追求短期競爭優勢。這樣的合作可以包括共享安全情報,共同參與競賽活動以及與相關團隊彼此交流和學習。結語
這次的事件再次凸顯了漏洞發現和報告的重要性以及科技公司在推動倫理和合作方面的責任。我們希望這次的經驗能夠激勵業界更加關注這些問題,從而共同打造一個更安全和更信任的數位世界。Hacker-Google,蘋果員工,零日漏洞,上報
延伸閱讀
- OpenAI 與 Google 擺出競爭的 AI 願景
- Netflix 將建立自己的廣告伺服器挑戰 Google 和 Amazon
- Google 仍未修復 Gemini 偏見影像生成器
- Google 在 Android 上新增實時威脅檢測和螢幕分享保護
- Google 掃描通話的人工智慧或增加預設審查,隱私專家發出警告
- Google 推出新的 Private Space 功能,就像是 Android 版的無痕模式
- Google I/O 2024:Google 剛宣布的所有重大訊息
- Google 發布 AI 動態威脅檢測服務,打擊 Android 惡意軟體
- Google 將在桌面版 Chrome 中加入其 Gemini Nano AI 模型
- Google 宣布 Patreon 和 Grammarly 已開始測試 Gemini Nano
