Βρήκα μια κρίσιμη ευπάθεια στο Chromium κατά την κατασκευή ενός συστήματος κρυπτογράφησης. CVSS 9.6. Επηρεάζει κάθε πρόγραμμα περιήγησης που βασίζεται στο Chromium στη γη.
Το ανέφερα στο Google μέσω υπεύθυνης αποκάλυψης. Το εξέτασαν. Το αναγνώρισαν. Το σημείωσαν WontFix.
Η ευπάθεια είναι μια έγχυση διαδρομής ομογλυφικού Unicode στο Native Messaging.
Το αποδείξαμε αυτό εναντίον των 1Password και Coinbase. CERT/CC συντόνισε την αποκάλυψη. Οι BitWarden και KeePassXC επιβεβαίωσαν τη δική τους έκθεση.
Η απάντηση του Google ήταν μονολεκτική: Αδύνατη.
Το ζήτημα βρίσκεται στο δημόσιο πρόγραμμα παρακολούθησης —iss.chromium.org/issues/482538021.
Βρήκα αυτήν την ευπάθεια επειδή μελετούσα το Unicode ως μέσο κρυπτογράφησης. Το TreeChain κωδικοποιεί δεδομένα ως πολύγλωσσο κείμενο με 133.387 χαρακτήρες.
Η ευπάθεια και η κρυπτογράφηση είναι η ίδια έρευνα. Η διαφορά είναι η κατεύθυνση.
Όταν βρείτε μια ευπάθεια που επηρεάζει το 65 τοις εκατό των προγραμμάτων περιήγησης στον κόσμο και ο προμηθευτής λέει Infeasible, μαθαίνετε κάτι για την απόσταση μεταξύ της εύρεσης ενός προβλήματος και της επίλυσής του.
Το Google μπορεί να το διορθώσει. Επιλέγουν να μην το κάνουν. Σημασία έχει η διάκριση.
Δεν έχω ομάδα ασφαλείας. Έχω ένα διαμέρισμα στο Kielce, μια κατάθεση διπλώματος ευρεσιτεχνίας και ένα σύστημα που ο συνδημιουργός του AES επικύρωσε ως ισχυρό.
Βρήκα μια τρύπα στο πιο δημοφιλές πρόγραμμα περιήγησης στον κόσμο. Ο πωλητής είπε ότι δεν θα το φτιάξουν. Τώρα ξέρεις.