Please enable JS

Blog

Facebook cria política de divulgação para quando encontrar falhas de segurança em apps de outras empresas

Facebook cria política de divulgação para quando encontrar falhas de segurança em apps de outras empresas

8 de setembro de 2020 / Tecnologia / por Comunicação Krypton BPO

Empresas terão aviso antecipado e até 90 dias para corrigir o problema antes antes da divulgação. Companhia também vai reunir histórico falhas no WhatsApp em uma página.

O Facebook anunciou nesta quinta-feira (3) novas medidas de transparência de segurança para o WhatsApp e uma política de avisos de vulnerabilidades encontradas em serviços de terceiros.

O time de especialistas em segurança do Facebook irá relatar falhas em aplicativos e serviços de outras empresas quando as encontrarem. Essa é uma prática parecida com a adotada pelo Google no “Projeto Zero”.

Quando os especialistas encontrarem bugs e vulnerabilidades em produtos de terceiros, irão notificá-los para que uma correção seja aplicada o mais breve possível.

A diferença entre a iniciativa do Google e o do Facebook é que a equipe do buscador procura falhas ativamente, enquanto a da rede social fará os relatórios ao se deparar com bugs durante outras tarefas.

Nathaniel Gleicher, diretor de políticas públicas do Facebook, explica que a companhia adotou padrões da indústria para essas notificações.

“Queremos criar expectativas consistentes sobre transparência e esperamos que os desenvolvedores se engajem e se comprometam na correção”, comentou.

Ao encontrar uma falha, a equipe entrará em contato com os desenvolvedores detalhando a vulnerabilidade.

Os responsáveis terão 21 dias para responder ao Facebook reconhecendo o problema. Caso sejam ignorados, os pesquisadores terão a prerrogativa de revelar publicamente a falha, na tentativa de pressionar por uma correção.

Gleicher diz que sempre irão considerar a gravidade do problema na hora de publicar o bug, levando em conta a preservação da integridade dos usuários e o risco da falha ser explorada.

Quando as companhias derem um retorno ao Facebook, o prazo será estendido para 90 dias – tempo que a companhia considera o suficiente para a correção dos problemas. Depois desse período, as falhas serão reveladas – assim como Google e outras companhias fazem nesses casos.

O Facebook também tem um programa de recompensas para pesquisadores independentes que encontram falhas em seus produtos. A companhia diz que continua incentivando especialistas a relataram os bugs e divulgou uma página com suas novas políticas.

Bugs no WhatsApp

A companhia também criou uma página para reunir os bugs e vulnerabilidades que forem encontrados no WhatsApp.

Essa iniciativa tem como objetivo manter a transparência e auxiliar pesquisadores a entenderem quais falhas já surgiram no app. Nela, são publicados os CVEs, sigla em inglês para Vulnerabilidades e Exposições Comuns.

O CVE é uma base de dados financiada pelo governo norte-americano em que falhas são registradas e ganham um identificador numérico para que usuários possam descobrir informações sobre um problema e determinar em qual versão de um software ele foi corrigido.

Essa documentação tem como objetivo ajudar pesquisadores a entender cenários técnicos e ajuda a saber exatamente quantas falhas foram corrigidas e qual é o possível impacto do problema.

Não são todas as empresas que solicitam números do CVE para registrar as falhas que corrigem, o que pode dar a impressão que um software não teve falhas.

A companhia diz que faz revisões constantes de seus códigos, seja por meio de algoritmos e processos automatizados ou por revisão manual.

A maioria das falhas é encontrada internamente, enquanto cerca de um terço é relatada pelo programa de recompensas, que oferece prêmios em dinheiro para pesquisadores.

No lançamento da página que acontece nesta quinta-feira (3), o WhatsApp vai revelar 6 vulnerabilidades, todas corrigidas e sem evidências de terem sido exploradas por terceiros.

Uma delas permitiria uma pessoa saber o endereço de IP de um usuário ao enviar um sticker (figurinha). Esse dado poderia fornecer informações aproximadas da localização de um usuário, mas sem muito detalhamento.

O time de segurança afirma que a maioria dos bugs são corrigidos no mesmo dia em que são encontrados.

A prática de divulgar publicamente vulnerabilidades e correções já é adotada por muitas outras empresas de tecnologia, como a Microsoft, Apple, Adobe, Oracle, entre outras. Porém, não é tão comum no ambiente de aplicativos para celular.

Fonte: G1

Imagem: Background vector created by freepik – www.freepik.com

Posts relacionados

Câmeras invisíveis: cientistas criam sensor transparente para óculos

28 de março de 2024 / Tecnologia / por Comunicação Krypton BPO

Como proteger a segurança doméstica

26 de março de 2024 / Tecnologia / por Comunicação Krypton BPO

Processo de reconhecimento facial do gov.br foi simplificado

20 de março de 2024 / Tecnologia / por Comunicação Krypton BPO

Google I/O 2024 deve ter destaque especial para Pixel 8a e Android 15

19 de março de 2024 / Tecnologia / por Comunicação Krypton BPO

Sistema utiliza inteligência artificial para detectar animais selvagens na pista e evitar acidentes

18 de março de 2024 / Tecnologia / por Comunicação Krypton BPO

O “Uber Voador” da Embraer está perto de se tornar realidade; entenda

15 de março de 2024 / Tecnologia / por Comunicação Krypton BPO

abc