Securitybedrijf Yubico heeft excuses gemaakt aan twee onderzoekers die stelden dat het bedrijf er met hun onderzoek vandoor was gegaan. Onderzoekers Markus Vervier en Michele Orrù hadden een kwetsbaarheid in de WebUSB-implementatie van Google Chrome ontdekt.
Via WebUSB kunnen webapplicaties, na toestemming van de gebruiker, met aangesloten usb-apparaten communiceren. Yubico is de fabrikant van de YubiKey, een usb-apparaatje waarmee op allerlei accounts en diensten kan worden ingelogd. Eerder dit jaar demonstreerden onderzoekers Vervier en Orrù hoe tokens zoals de YubiKey via WebUSB kunnen worden omzeild.
Naar aanleiding van berichtgeving over de demonstratie nam Yubico op 2 maart contact op met de onderzoekers, die vervolgens nog niet geopenbaarde details gaven. Ook vertelden de onderzoekers dat het waarschijnlijk mogelijk was om via WebUSB toegang tot Human Interface Devices (HID) te krijgen. Dit zijn apparaten die rechtstreeks met mensen communiceren en invoer kunnen verwerken, zoals toetsenborden. Op 3 maart meldden Vervier en Orrù het HID-probleem via de Chromium-bugtracker.
Op 13 juni publiceerde Yubico een blogposting waarin het meldde dat het een ernstig probleem met WebUSB had ontdekt en gemeld en hiervoor een beloning van 5.000 dollar van Google had ontvangen. Nergens in de advisory van Yubico werden Vervier en Orrù bij naam genoemd. Iets wat voor felle kritiek van de onderzoekers en anderen zorgde. Daarnaast kregen de twee ook geen beloning van Google. Nu laat Yubico in een nieuwe reactie weten dat het de onderzoekers niet voldoende krediet heeft gegeven en maakt het excuses.
Het bedrijf zegt dat het een fout heeft gemaakt door de onderzoekers niet in het eigen beveiligingsbulletin te vermelden. Toch stelt Yubico dat het de HID-kwetsbaarheid, die het op 5 maart bij Google rapporteerde, zelf heeft ontdekt. Pas op 13 juni ontdekte het bedrijf naar eigen zeggen dat Vervier en Orrù de HID-kwetsbaarheden ook hadden gevonden en bij Google hadden gerapporteerd. Google heeft echter nu ook aan de twee onderzoekers een beloning van 5.000 dollar toegekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.