Google estende prazo para revelar falhas de segurança de outras empresas
Project Zero, iniciativa do Google que identifica vulnerabilidades, terá prazo extra para dar tempo de correções serem aplicadas
Project Zero, iniciativa do Google que identifica vulnerabilidades, terá prazo extra para dar tempo de correções serem aplicadas
O Google criou o Project Zero em 2014 com uma proposta bem clara: identificar falhas de segurança em serviços ou softwares de terceiros, notificar os responsáveis e dar um prazo para que a correção seja providenciada antes de o problema ser divulgado. A partir de agora, esse prazo poderá ser estendido em 30 dias, por um bom motivo: dar tempo para a atualização ser implementada.
Quando os analistas do Project Zero descobrem uma falha de segurança, eles notificam a organização responsável pelo serviço ou software vulnerável e dão um prazo de 90 dias antes de os detalhes técnicos sobre o problema serem liberados publicamente.
Essa abordagem tem dois objetivos: pressionar os responsáveis para que uma correção seja disponibilizada e dar tempo para que esse trabalho possa ser concluído sem que invasores tomem conhecimento da vulnerabilidade e passem a explorá-la. Isso porque, quando o prazo de 90 dias expirar, a falha já deverá estar corrigida.
Em casos extremos, o Google pode fornecer um prazo adicional de 14 dias para a divulgação, desde que a organização responsável faça essa solicitação.
Se a falha for do tipo zero-day, isto é, já estiver sendo explorada, o Project Zero estabelece um prazo de apenas sete dias para a correção. Porém, agora um acréscimo de três dias pode ser requisitado.
Nesta semana, o Google anunciou para o Project Zero uma política de “90 + 30 dias”. Isso significa que o prazo para resolução do problema continua sendo de 90 dias, mas a divulgação da falha será feita 30 dias após a correção ser liberada. Até então, a divulgação era feita após o prazo de 90 dias expirar, tivesse a vulnerabilidade sido corrigida ou não.
Para falhas zero-day, a política passa a ser de “7 + 30 dias”, ou seja, o problema será divulgado após 30 dias se a correção for liberada dentro de sete dias.
Não havendo correção, os prazos de 90 e sete dias continuam valendo.
Pode parecer um retrocesso, afinal, o objetivo do Projeto Zero é identificar falhas para que elas sejam corrigidas o quanto antes como forma de tornar a web mais segura.
Porém, o prazo adicional foi criado para que clientes do software afetado tenham tempo para receber e aplicar a correção.
Os prazos podem mudar, no entanto. O Google cogita trabalhar com um modelo de “84 + 28 dias” em 2022.
Com informações: XDA Developers.