Início » Segurança » Wikileaks impõe condições para compartilhar falhas de segurança com Google e outras empresas

Wikileaks impõe condições para compartilhar falhas de segurança com Google e outras empresas

Por
20/03/2017 às 15h41
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Os quase 9 mil documentos vazados pela Wikileaks na primeira etapa do projeto Vault 7 revelaram que o governo dos Estados Unidos faz espionagem explorando vulnerabilidades em várias plataformas, incluindo iOS e Android. Mas se Apple, Google e outras empresas quiserem saber mais sobre esses problemas, vão ter que negociar: a Wikileaks está fazendo várias exigências para liberar detalhes técnicos das falhas.

Após o vazamento, a organização prometeu enviar os dados às empresas envolvidas. Só que não seria tão fácil assim: na data de divulgação do Year Zero — codinome da primeira leva de vazamentos do Vault 7 —, a Wikileaks havia sinalizado que só revelaria códigos-fonte e detalhes dos meios explorados pela CIA para espionagem quando tivesse certeza de como fazê-lo sem abrir espaço para outros problemas de segurança, principalmente do tipo zero-day (aqueles que são explorados antes de as correções ficarem prontas).

CIA

A condição mais importante — os outros termos não foram revelados até o momento — é a concordância por parte de cada empresa de corrigir as vulnerabilidades em até 90 dias após a entrega dos detalhes.

As companhias envolvidas no assunto foram notificadas por email sobre as exigências. Porém, até agora, somente a Mozilla respondeu concordando. A Wikileaks afirma que Google e outras empresas permanecem em silêncio — nenhum retorno foi dado, nem para expressar discordância.

Para a organização, a ausência de resposta é um sinal de que essas empresas têm conflito de interesses. Nesse sentido, é de se suspeitar que, para muitas delas, a concordância em resolver os problemas em 90 dias poderia dificultar possíveis acordos de colaboração com autoridades.

Mas há a possibilidade de as empresas envolvidas estarem certas de que as vulnerabilidades foram ou serão corrigidas com atualizações. O próprio Google afirmou, após analisar a primeira leva de documentos vazados, que está confiante de que updates e recursos de segurança estão protegendo usuários do Chrome e do Android das supostas vulnerabilidades, apesar de não haver ali detalhes sobre as falhas.

Por parte da Apple houve declarações semelhantes. Para a companhia, muitas das falhas relacionadas às práticas de espionagem já foram corrigidas com os updates mais recentes para iOS.

Seria razoável se a própria CIA se encarregasse de comunicar as brechas às companhias envolvidas, afinal, sabendo que elas existem, grupos com intenções maliciosas poderiam se organizar para encontrá-las. Mas não é do feitio dessa e de outras agências tomar esse tipo de iniciativa. De alguma maneira, isso pode dar pistas sobre o modus operandi delas, sem contar que a CIA ainda não reconheceu os documentos vazados.

Levando esse aspecto em consideração, é realmente curioso que Google, Apple e tantas outras companhias não tenham aceitado as condições da Wikileaks até agora. Ou as empresas estão realmente seguras da sua própria capacidade de encontrar as vulnerabilidades ou os termos são extremamente rigorosos, indo muito além do tal prazo de 90 dias.

Essa é uma história que promete ir longe. O Vault 7 deve ter pelo menos mais sete vazamentos ao longo do ano.

Com informações: TechCrunch, Motherboard

  • Thiago Moraes

    As vezes devem ser brechas propositais, eu não confio nessas empresas. (Apesar de usar os serviços delas rsrs)

    • Adriano

      Se levarmos em consideração, que a Apple levou 48 horas, à partir da data do vazamento para a imprensa, (ninguém ainda tinha os detalhes das falhas) pra fazer suas correções de segurança, da pra desconfiar sim, de que essas brechas eram propositais, o que pra mim, não seria novidade alguma porque, desconfio sim, que todas as empresas envolvidas nesses “escândalo”, são copartícipe nessa estória toda.

    • Isaias Freitas

      Muuuito provável.

  • Jonas Uliana

    Falhas ou 0-days craftados a mão sobre falhas que sem querer foram versionadas e explicadas à CIA?, dissertem.

  • Mais um motivo pra continuar amando o Mozilla Firefox!

    S2

  • Microsoft está rindo da Google nesse momento. Vale até pra se ela quiser levar a Google aos tribunais: “publicou minha falha porque não consegui corrigir em 90 dias… Se quer mostrou interesse em corrigir as próprias”.

    • Adriano

      Seja sincero consigo mesmo…você realmente acredita que a Microsoft e o Google, entre outras, são apenas vítimas nesse escândalo?

      • Tu aparentemente não entendeu do que eu estou falando…

        • Adriano

          Entendi sim.👍🏻

  • É uma grande pena que o Firefox OS não tenha dado certo, a Mozilla é uma das poucas companhias, se não a única, que se compromete radicalmente com a privacidade dos usuários. No mobile não temos opções de fugir à vigilância das corporações.

  • “É realmente curioso que Google, Apple e tantas outras companhias não tenham aceitado as condições da Wikileaks até agora”.

    Não se negocia com terroristas.