Google estende prazo para revelar falhas de segurança de outras empresas

O Google criou o Project Zero em 2014 com uma proposta bem clara: identificar falhas de segurança em serviços ou softwares de terceiros, notificar os responsáveis e dar um prazo para que a correção seja providenciada antes de o problema ser divulgado. A partir de agora, esse prazo poderá ser estendido em 30 dias, por um bom motivo: dar tempo para a atualização ser implementada.

• Google vai decidir quais apps no Android 11 terão acesso total a arquivos
• FBI “hackeia” servidores Microsoft Exchange para remover brecha

Ilustração de segurança em computador (imagem: Flickr/Visual Content)

Quando os analistas do Project Zero descobrem uma falha de segurança, eles notificam a organização responsável pelo serviço ou software vulnerável e dão um prazo de 90 dias antes de os detalhes técnicos sobre o problema serem liberados publicamente.

Essa abordagem tem dois objetivos: pressionar os responsáveis para que uma correção seja disponibilizada e dar tempo para que esse trabalho possa ser concluído sem que invasores tomem conhecimento da vulnerabilidade e passem a explorá-la. Isso porque, quando o prazo de 90 dias expirar, a falha já deverá estar corrigida.

Em casos extremos, o Google pode fornecer um prazo adicional de 14 dias para a divulgação, desde que a organização responsável faça essa solicitação.

Se a falha for do tipo zero-day, isto é, já estiver sendo explorada, o Project Zero estabelece um prazo de apenas sete dias para a correção. Porém, agora um acréscimo de três dias pode ser requisitado.

Nesta semana, o Google anunciou para o Project Zero uma política de “90 + 30 dias”. Isso significa que o prazo para resolução do problema continua sendo de 90 dias, mas a divulgação da falha será feita 30 dias após a correção ser liberada. Até então, a divulgação era feita após o prazo de 90 dias expirar, tivesse a vulnerabilidade sido corrigida ou não.

Para falhas zero-day, a política passa a ser de “7 + 30 dias”, ou seja, o problema será divulgado após 30 dias se a correção for liberada dentro de sete dias.

Não havendo correção, os prazos de 90 e sete dias continuam valendo.

Pode parecer um retrocesso, afinal, o objetivo do Projeto Zero é identificar falhas para que elas sejam corrigidas o quanto antes como forma de tornar a web mais segura.

Porém, o prazo adicional foi criado para que clientes do software afetado tenham tempo para receber e aplicar a correção.

Os prazos podem mudar, no entanto. O Google cogita trabalhar com um modelo de “84 + 28 dias” em 2022.

Com informações: XDA Developers.