Apple scova un exploit zero-day in Chrome ma non avvisa Google

È pratica abbastanza diffusa tra le aziende tech quella di aiutarsi a vicenda con lo scopo di migliorare i propri sistemi di sicurezza. Questo avviene ad esempio quando vengono scovate vulnerabilità che vengono poi condivise con l’azienda il cui software/hardware è stato, appunto, colpito. Di recente però sembra che questo non sia avvenuto, ed è una notizia che di un certo rilievo perché le aziende coinvolte sono Apple e Google.

Apple scopre un exploit in Chrome ma non condivide la scoperta con Google

Un recente aggiornamento di Google Chrome risolve un exploit zero-day. Di solito le aziende descrivono come hanno scovato la vulnerabilità e come l’hanno risolta, e – in questo caso – è proprio la descrizione dell’update ad attirare particolare attenzione. Secondo un dipendente Google, infatti, l’exploit sarebbe stato scoperto da un ricercatore Apple, che però ha tenuto la notizia per sé.

Andando nello specifico, il bug è stato trovato durante un contest di hacking noto come “Capture the Flag“, svoltosi a marzo del 2022. Proprio in quell’occasione, il ricercatore Apple ha scoperto una vulnerabilità di Chrome fino a quel momento sconosciuta (ecco perché “zero-day”). Ma se Google ha messo una toppa, non è di certo merito per lo spirito di condivisione del dipendente dell’azienda rivale.

Su un blog dedicato alla piattaforma Chromium, un dipendente Google scrive che «il problema è stato segnalato da un membro del team HXP ma è stato scoperto da un membro della SEAR (Security Engineering and Architecture) di Apple durante il CTF del 2022».

La redazione di TechCrunch ha voluto approfondire la questione e ha avuto la possibilità di accedere ad una chat Discord. Qui si legge che il dipendente Apple contro cui viene puntato il dito avrebbe giudicato il bug come qualcosa di non così urgente da richiedere un fix immediato. Altra informazione trapelata (tutta da confermare) è che, eccezion fatta per i ricercatori Apple, nessuno era a conoscenza dell’exploit, quindi non poteva rappresentare una reale minaccia.

Infine, si legge che il ricercatore Apple avrebbe segnalato poi l’exploit a Google in data 5 giugno. Il motivo di questo ritardo? Colpa del tempo impiegato da più persone per firmare il rapporto.

Al momento non ci sono commenti ufficiali (di Apple, di Google o dei dipendenti chiamati in causa), ma c’è il rischio che questa mancata comunicazione possa inasprire il rapporto tra i due giganti tech, Apple e Google, appunto.