sábado, agosto 13, 2022
HomeCiênciaFacebook cria política de divulgação para quando encontrar falhas de segurança em...

Facebook cria política de divulgação para quando encontrar falhas de segurança em apps de outras empresas

G1

O Facebook anunciou nesta quinta-feira (3) novas medidas de transparência de segurança para o WhatsApp e uma política de avisos de vulnerabilidades encontradas em serviços de terceiros.

O time de especialistas em segurança do Facebook irá relatar falhas em aplicativos e serviços de outras empresas quando as encontrarem. Essa é uma prática parecida com a adotada pelo Google no “Projeto Zero”.

Quando os especialistas encontrarem bugs e vulnerabilidades em produtos de terceiros, irão notificá-los para que uma correção seja aplicada o mais breve possível.

A diferença entre a iniciativa do Google e o do Facebook é que a equipe do buscador procura falhas ativamente, enquanto a da rede social fará os relatórios ao se deparar com bugs durante outras tarefas.

Nathaniel Gleicher, diretor de políticas públicas do Facebook, explica que a companhia adotou padrões da indústria para essas notificações.

“Queremos criar expectativas consistentes sobre transparência e esperamos que os desenvolvedores se engajem e se comprometam na correção”, comentou.
Ao encontrar uma falha, a equipe entrará em contato com os desenvolvedores detalhando a vulnerabilidade.

Os responsáveis terão 21 dias para responder ao Facebook reconhecendo o problema. Caso sejam ignorados, os pesquisadores terão a prerrogativa de revelar publicamente a falha, na tentativa de pressionar por uma correção.

Gleicher diz que sempre irão considerar a gravidade do problema na hora de publicar o bug, levando em conta a preservação da integridade dos usuários e o risco da falha ser explorada.

Quando as companhias derem um retorno ao Facebook, o prazo será estendido para 90 dias – tempo que a companhia considera o suficiente para a correção dos problemas. Depois desse período, as falhas serão reveladas – assim como Google e outras companhias fazem nesses casos.

O Facebook também tem um programa de recompensas para pesquisadores independentes que encontram falhas em seus produtos. A companhia diz que continua incentivando especialistas a relataram os bugs e divulgou uma página com suas novas políticas.

Bugs no WhatsApp
A companhia também criou uma página para reunir os bugs e vulnerabilidades que forem encontrados no WhatsApp.

Essa iniciativa tem como objetivo manter a transparência e auxiliar pesquisadores a entenderem quais falhas já surgiram no app. Nela, são publicados os CVEs, sigla em inglês para Vulnerabilidades e Exposições Comuns.

O CVE é uma base de dados financiada pelo governo norte-americano em que falhas são registradas e ganham um identificador numérico para que usuários possam descobrir informações sobre um problema e determinar em qual versão de um software ele foi corrigido.

Essa documentação tem como objetivo ajudar pesquisadores a entender cenários técnicos e ajuda a saber exatamente quantas falhas foram corrigidas e qual é o possível impacto do problema.

Não são todas as empresas que solicitam números do CVE para registrar as falhas que corrigem, o que pode dar a impressão que um software não teve falhas.

A companhia diz que faz revisões constantes de seus códigos, seja por meio de algoritmos e processos automatizados ou por revisão manual.

A maioria das falhas é encontrada internamente, enquanto cerca de um terço é relatada pelo programa de recompensas, que oferece prêmios em dinheiro para pesquisadores.

No lançamento da página que acontece nesta quinta-feira (3), o WhatsApp vai revelar 6 vulnerabilidades, todas corrigidas e sem evidências de terem sido exploradas por terceiros.

Uma delas permitiria uma pessoa saber o endereço de IP de um usuário ao enviar um sticker (figurinha). Esse dado poderia fornecer informações aproximadas da localização de um usuário, mas sem muito detalhamento.

O time de segurança afirma que a maioria dos bugs são corrigidos no mesmo dia em que são encontrados.

A prática de divulgar publicamente vulnerabilidades e correções já é adotada por muitas outras empresas de tecnologia, como a Microsoft, Apple, Adobe, Oracle, entre outras. Porém, não é tão comum no ambiente de aplicativos para celular.

 

- Advertisment -

Most Popular

Recent Comments