G1
O Facebook anunciou nesta quinta-feira (3) novas medidas de transparência de segurança para o WhatsApp e uma política de avisos de vulnerabilidades encontradas em serviços de terceiros.
O time de especialistas em segurança do Facebook irá relatar falhas em aplicativos e serviços de outras empresas quando as encontrarem. Essa é uma prática parecida com a adotada pelo Google no “Projeto Zero”.
Quando os especialistas encontrarem bugs e vulnerabilidades em produtos de terceiros, irão notificá-los para que uma correção seja aplicada o mais breve possível.
A diferença entre a iniciativa do Google e o do Facebook é que a equipe do buscador procura falhas ativamente, enquanto a da rede social fará os relatórios ao se deparar com bugs durante outras tarefas.
Nathaniel Gleicher, diretor de políticas públicas do Facebook, explica que a companhia adotou padrões da indústria para essas notificações.
“Queremos criar expectativas consistentes sobre transparência e esperamos que os desenvolvedores se engajem e se comprometam na correção”, comentou.
Ao encontrar uma falha, a equipe entrará em contato com os desenvolvedores detalhando a vulnerabilidade.
Os responsáveis terão 21 dias para responder ao Facebook reconhecendo o problema. Caso sejam ignorados, os pesquisadores terão a prerrogativa de revelar publicamente a falha, na tentativa de pressionar por uma correção.
Gleicher diz que sempre irão considerar a gravidade do problema na hora de publicar o bug, levando em conta a preservação da integridade dos usuários e o risco da falha ser explorada.
Quando as companhias derem um retorno ao Facebook, o prazo será estendido para 90 dias – tempo que a companhia considera o suficiente para a correção dos problemas. Depois desse período, as falhas serão reveladas – assim como Google e outras companhias fazem nesses casos.
O Facebook também tem um programa de recompensas para pesquisadores independentes que encontram falhas em seus produtos. A companhia diz que continua incentivando especialistas a relataram os bugs e divulgou uma página com suas novas políticas.
Bugs no WhatsApp
A companhia também criou uma página para reunir os bugs e vulnerabilidades que forem encontrados no WhatsApp.
Essa iniciativa tem como objetivo manter a transparência e auxiliar pesquisadores a entenderem quais falhas já surgiram no app. Nela, são publicados os CVEs, sigla em inglês para Vulnerabilidades e Exposições Comuns.
O CVE é uma base de dados financiada pelo governo norte-americano em que falhas são registradas e ganham um identificador numérico para que usuários possam descobrir informações sobre um problema e determinar em qual versão de um software ele foi corrigido.
Essa documentação tem como objetivo ajudar pesquisadores a entender cenários técnicos e ajuda a saber exatamente quantas falhas foram corrigidas e qual é o possível impacto do problema.
Não são todas as empresas que solicitam números do CVE para registrar as falhas que corrigem, o que pode dar a impressão que um software não teve falhas.
A companhia diz que faz revisões constantes de seus códigos, seja por meio de algoritmos e processos automatizados ou por revisão manual.
A maioria das falhas é encontrada internamente, enquanto cerca de um terço é relatada pelo programa de recompensas, que oferece prêmios em dinheiro para pesquisadores.
No lançamento da página que acontece nesta quinta-feira (3), o WhatsApp vai revelar 6 vulnerabilidades, todas corrigidas e sem evidências de terem sido exploradas por terceiros.
Uma delas permitiria uma pessoa saber o endereço de IP de um usuário ao enviar um sticker (figurinha). Esse dado poderia fornecer informações aproximadas da localização de um usuário, mas sem muito detalhamento.
O time de segurança afirma que a maioria dos bugs são corrigidos no mesmo dia em que são encontrados.
A prática de divulgar publicamente vulnerabilidades e correções já é adotada por muitas outras empresas de tecnologia, como a Microsoft, Apple, Adobe, Oracle, entre outras. Porém, não é tão comum no ambiente de aplicativos para celular.