AMD nie zapłaciło badaczowi za znalezienie luki

Niektóre firmy technologiczne nagradzają użytkowników za odkrycie i zgłoszenie luki bezpieczeństwa. W teorii obie strony powinny na tym korzystać. Przykład AMD pokazuje jednak, że nie zawsze wygląda to tak dobrze.

Badacz cyberbezpieczeństwa Paul kilka miesięcy temu odkrył potencjalną podatność w mechanizmie automatycznej aktualizacji oprogramowania AMD. Według jego ustaleń luka mogła zostać wykorzystana do przeprowadzenia ataku typu man in the middle, w ramach którego cyberprzestępca mógłby przechwycić ruch sieciowy i dostarczyć złośliwy kod zamiast prawidłowej aktualizacji.

AMD odmawia wypłaty nagrody

Badacz zgłosił problem za pośrednictwem oficjalnego programu AMD, licząc nie tylko na usunięcie błędu, ale również na nagrodę finansową. W przypadku podatności pozwalających na zdalne wykonanie kodu wynagrodzenie mogło wynieść nawet 10 tysięcy dolarów.

Niektóre firmy technologiczne nagradzają użytkowników za odkrycie i zgłoszenie luki bezpieczeństwa. W teorii obie strony powinny na tym korzystać. Przykład AMD pokazuje jednak, że nie zawsze wygląda to tak dobrze.

AMD odrzuciło jednak wniosek o wypłatę nagrody, argumentując, iż scenariusze wykorzystujące ataki typu man in the middle nie są objęte zasadami programu. Jednocześnie firma poprosiła badacza o tymczasowe usunięcie opublikowanego wpisu opisującego problem, obiecując przygotowanie poprawki oraz przypisanie mu odkrycia podatności.

Paul zgodził się na takie rozwiązanie, choć dziś przyznaje, że nie jest przekonany, czy była to najlepsza decyzja. Początkowo zakładano standardowy okres około 90 dni przed ponownym ujawnieniem szczegółów. AMD poprosiło jednak o więcej czasu, tłumacząc, że problem może dotyczyć większej liczby narzędzi niż początkowo sądzono.

Poprawka dodana po 124 dniach

Ostatecznie poprawka została udostępniona po około 124 dniach od pierwszego zgłoszenia. Co ciekawe, AMD nie ograniczyło się do niewielkiej korekty kodu, lecz przebudowało część mechanizmu pobierania aktualizacji. Badacz potwierdził później, że nowe rozwiązanie pobiera pliki w bezpieczniejszy sposób.

Nieoczekiwany zwrot

Historia ma jednak jeszcze jeden nieoczekiwany zwrot. Według informacji opublikowanych przez jednego z użytkowników Reddita fragment kodu odpowiedzialny za problem mógł w praktyce w ogóle nie być wykorzystywany. Innymi słowy, mechanizm aktualizacji miał być częściowo niesprawny, przez co podatność mogła nie zostać aktywowana w normalnych warunkach.