08 set O Facebook contra-ataca

Post disponível em / disponible en / available in: Português

Plataforma vai listar todos os problemas de segurança do WhatsApp em um novo site, e notificará desenvolvedores sobre bugs em seus produtos.

Uma nova página será lançada pelo Facebook, pela qual a empresa planeja listar todas as vulnerabilidades que foram identificadas e corrigidas no WhatsApp. Hoje, notificações de lançamento do WhatsApp são publicadas nas páginas do iOS e da Google Play Store. Contudo, esses registros de alterações não fornecem descrições detalhadas dos bugs de segurança corrigidos, muitos dos quais são descritos apenas como “correções de segurança”.

O Facebook diz que isso é “devido às políticas e práticas das lojas de aplicativos”, mas espera que a nova página funcione efetivamente como um local focado em segurança para os usuários.

Aprofundando minúcias

Os detalhes que serão listados na nova página de avisos de segurança do WhatsApp do Facebook incluirão uma breve descrição do bug e um identificador CVE (sigla em inglês para Vulnerabilidades e Exposições Comuns), quando possível.

Os números CVE são destinados a pesquisadores de segurança que desejam rastrear bugs, possíveis tentativas de exploração no mundo real ou a empresas que desejam emitir alertas de segurança para seus próprios clientes.

O Facebook disse que os bugs listados nessa página não significam necessariamente que foram explorados de fato. Todas as vulnerabilidades listadas no site são bugs que foram corrigidos recentemente, servindo de exemplo sobre o porquê de os usuários precisarem manter o aplicativo WhatsApp atualizado o tempo todo para evitar ataques futuros.

Além disso, a nova página de avisos de segurança do WhatsApp também listará bugs corrigidos em bibliotecas usadas pelo aplicativo.

Se esses bugs tiverem um impacto mais amplo, fora do aplicativo, o Facebook disse que também notificaria os desenvolvedores dessas bibliotecas e os fabricantes de sistemas operacionais móveis.

Os terceiros na mira

Os desenvolvedores do Facebook gerenciam um dos maiores conjuntos de softwares do planeta, com dezenas de aplicativos dentro da rede social. Encontrar bugs de segurança nesta pilha gigante de código nem sempre é simples, mas por meio de ferramentas de análise estática desenvolvidas internamente, como Pysa e Zoncolan, o Facebook tem feito um esforço concentrado para encontrar problemas antes que eles cheguem ao público.

Entretanto, uma grande parte dos aplicativos do Facebook é sustentada por bibliotecas menores desenvolvidas por terceiros. Não é raro encontrar vulnerabilidades nesses componentes de terceiros, e a equipe de segurança da rede social sempre relatou a seus respectivos proprietários sobre a existência de cada um.

Contudo, alguns desenvolvedores de bibliotecas corrigem seus bugs em poucos dias, mas há casos em que o Facebook teve que desenvolver suas próprias alternativas internamente – tamanha foi a demora na resolução dos problemas.

Nova política

Uma maneira que o Face entende como necessária para lidar com essas divulgações problemáticas é por meio de uma nova política que a empresa pretende aplicar a partir de agora.

Chamada de “política de divulgação de vulnerabilidade”, trata-se de um conjunto de regras que os engenheiros planejam aplicar ao relatar as vulnerabilidades encontradas em aplicações terceirizadas.

Em suma, o Face promete fazer um esforço razoável para encontrar o contato certo para relatar uma vulnerabilidade a qualquer companhia terceirizada.

Depois que o contato for feito, o Facebook diz que fornecerá um relatório técnico detalhado descrevendo o bug, mas se o desenvolvedor não confirmar o recebimento desse relatório em 21 dias, seus engenheiros divulgarão os detalhes do bug na internet para que outros desenvolvedores ajudem a proteger seus produtos.

Os terceiros que reconhecerem os relatórios têm 90 dias para corrigir os problemas, que é o período de tempo padrão não oficial na comunidade de software que os caçadores de bugs dão às empresas para corrigir falhas de segurança.

A única situação em que algo se tornará público imediatamente é quando um bug em um componente de terceiros está sob exploração ativa. Nem todos serão divulgados imediatamente, mas apenas aqueles casos em que a divulgação do bug ajuda os usuários a se manterem seguros.

Ou seja, são táticas que a maior rede social do mundo adota para enfrentar os constantes ataques e problemas de vulnerabilidade que sofre. Pelo tamanho que tem, deve criar meios de combate à altura – e servir de exemplo na luta contra invasores.