domingo, dezembro 22, 2024
spot_imgspot_imgspot_img
InícioEsporteFacebook cria política de divulgação para quando encontrar falhas de segurança em...

Facebook cria política de divulgação para quando encontrar falhas de segurança em apps de outras empresas

G1

O Facebook anunciou nesta quinta-feira (3) novas medidas de transparência de segurança para o WhatsApp e uma política de avisos de vulnerabilidades encontradas em serviços de terceiros.

O time de especialistas em segurança do Facebook irá relatar falhas em aplicativos e serviços de outras empresas quando as encontrarem. Essa é uma prática parecida com a adotada pelo Google no “Projeto Zero”.

Quando os especialistas encontrarem bugs e vulnerabilidades em produtos de terceiros, irão notificá-los para que uma correção seja aplicada o mais breve possível.

A diferença entre a iniciativa do Google e o do Facebook é que a equipe do buscador procura falhas ativamente, enquanto a da rede social fará os relatórios ao se deparar com bugs durante outras tarefas.

Nathaniel Gleicher, diretor de políticas públicas do Facebook, explica que a companhia adotou padrões da indústria para essas notificações.

“Queremos criar expectativas consistentes sobre transparência e esperamos que os desenvolvedores se engajem e se comprometam na correção”, comentou.
Ao encontrar uma falha, a equipe entrará em contato com os desenvolvedores detalhando a vulnerabilidade.

Os responsáveis terão 21 dias para responder ao Facebook reconhecendo o problema. Caso sejam ignorados, os pesquisadores terão a prerrogativa de revelar publicamente a falha, na tentativa de pressionar por uma correção.

Gleicher diz que sempre irão considerar a gravidade do problema na hora de publicar o bug, levando em conta a preservação da integridade dos usuários e o risco da falha ser explorada.

Quando as companhias derem um retorno ao Facebook, o prazo será estendido para 90 dias – tempo que a companhia considera o suficiente para a correção dos problemas. Depois desse período, as falhas serão reveladas – assim como Google e outras companhias fazem nesses casos.

O Facebook também tem um programa de recompensas para pesquisadores independentes que encontram falhas em seus produtos. A companhia diz que continua incentivando especialistas a relataram os bugs e divulgou uma página com suas novas políticas.

Bugs no WhatsApp
A companhia também criou uma página para reunir os bugs e vulnerabilidades que forem encontrados no WhatsApp.

Essa iniciativa tem como objetivo manter a transparência e auxiliar pesquisadores a entenderem quais falhas já surgiram no app. Nela, são publicados os CVEs, sigla em inglês para Vulnerabilidades e Exposições Comuns.

O CVE é uma base de dados financiada pelo governo norte-americano em que falhas são registradas e ganham um identificador numérico para que usuários possam descobrir informações sobre um problema e determinar em qual versão de um software ele foi corrigido.

Essa documentação tem como objetivo ajudar pesquisadores a entender cenários técnicos e ajuda a saber exatamente quantas falhas foram corrigidas e qual é o possível impacto do problema.

Não são todas as empresas que solicitam números do CVE para registrar as falhas que corrigem, o que pode dar a impressão que um software não teve falhas.

A companhia diz que faz revisões constantes de seus códigos, seja por meio de algoritmos e processos automatizados ou por revisão manual.

A maioria das falhas é encontrada internamente, enquanto cerca de um terço é relatada pelo programa de recompensas, que oferece prêmios em dinheiro para pesquisadores.

No lançamento da página que acontece nesta quinta-feira (3), o WhatsApp vai revelar 6 vulnerabilidades, todas corrigidas e sem evidências de terem sido exploradas por terceiros.

Uma delas permitiria uma pessoa saber o endereço de IP de um usuário ao enviar um sticker (figurinha). Esse dado poderia fornecer informações aproximadas da localização de um usuário, mas sem muito detalhamento.

O time de segurança afirma que a maioria dos bugs são corrigidos no mesmo dia em que são encontrados.

A prática de divulgar publicamente vulnerabilidades e correções já é adotada por muitas outras empresas de tecnologia, como a Microsoft, Apple, Adobe, Oracle, entre outras. Porém, não é tão comum no ambiente de aplicativos para celular.

 

Entre no grupo da VTNEWS no WhatsApp e receba notícias em tempo real (CLIQUE AQUI).

ARTIGOS RELACIONADOS

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

PUBLICIDADEspot_imgspot_imgspot_img

RECENTES

Comentários recentes