Apple ile Google Arasında Siber Güvenlik Kavgası: Apple, Chrome’da Güvenlik Açığı Tespit Etmesine Rağmen Bildirmemiş!
Google ile Apple ortasında garip bir sıfır gün açığı tartışması çıktı. Google’a nazaran Apple için çalışan bir siber güvenlik araştırmacısı, Chrome’daki güvenlik açığını tespit etmesine karşın bildirimde bulunmadı. Neden bu türlü bir şey yaşandığını kimse bilmiyor.
Dev teknoloji devleri Google ile Apple ortasında dikkat çeken bir tartışma başladı. Google, Apple’ın siber güvenlik uzmanlarının Chrome’daki bir güvenlik açığını tespit ettiğini, fakat bildirimde bulunmadığı için harekete geçilemediğini söyledi. Üstelik Google, sonraki basamakta aslında bilinen güvenlik açığını tespit eden öteki bir siber güvenlik uzmanına 10 bin dolar ödül verdi.
Google’ın açıklamasına nazaran Chrome’daki güvenlik açığı, HXP CTF 2022 aktiflikleri sırasında Apple için çalışan “Gallileo” isimli bir siber güvenlik araştırmacısı tarafından tespit edildi. Lakin bildirim yapılmayınca, kelam konusu güvenlik açığı ile ilgili çalışma yapılmadı. Lakin birebir aktifliğe katılan öbür bir yarışmacı da kelam konusu güvenlik açığını tespit etti. “Sisu” isimli araştırmacı, güvenlik açığının ortaya çıkmasını sağladı.
Peki Apple çalışanı, güvenlik açığını neden Google’a bildirmedi?
İşte bu kısım biraz karışık. TechCrunch, Apple için çalışan Gallileo kod isimli kişinin Discord’daki bir açıklamasına denk geldi. Gallileo’ya nazaran güvenlik açığı, çok da değerli değildi. Ayrıyeten bu güvenlik açığı ile ilgili rapor hazırlaması da tam 2 haftasını almıştı. Hazırladığı raporu da Apple ile paylaşan işçi, güvenlik açığının 5 Haziran‘da Google’a bildirildiğini söylüyordu. Meğer ki HXP CTF 2022 etkinliklerinde tespit edilen sıfır gün açığı, aslında 29 Mart’ta kapatılmıştı.
Apple, hususla ilgili resmi bir açıklama yapmadı. Google da güvenlik açığını Apple’a karşın kapattığı için memnun. Fakat siber güvenlik araştırmacıları, yaşananlardan dolayı rahatsızlar. Sonuçta sıfır gün açıkları, tüm kullanıcılar için kritik kıymet arz ediyor. Üstelik Apple, kendi güvenlik siyasetlerine nazaran bulunan güvenlik açıklarını anında bildiriyor. Google Chrome için tespit edilen açığın neden bildirilmediği, çalışanın ferdî olarak neden adım atmayıp 10 bin doları elinin zıddıyla ittiği gizemini müdafaaya devam ediyor…