O que é o Google Project Zero

O Google Project Zero (Projeto Zero) é uma unidade de pesquisa de segurança da Google.

O papel da equipa do Project Zero é encontrar vulnerabilidades em produtos de software populares, incluindo aqueles criados pela própria Google. Quando a equipa de pesquisa descobre e valida a existência de uma vulnerabilidade, informa calmamente o bug para a empresa responsável pelo software e dá à empresa 90 dias para corrigir o problema. Se a vulnerabilidade não tiver sido corrigida após 90 dias, o Project Zero libertará automaticamente informações sobre o bug e fornecerá ao público em geral o código de ataque de amostra. A intenção da política de divulgação de 90 dias é incentivar as empresas a corrigir o problema em tempo útil antes que os invasores descubram a mesma vulnerabilidade e a explorem.

Os críticos da política de divulgação automatizada têm perguntado por que a Google tem a equipa do Project Zero policiando produtos de terceiros. Eles também perguntam se o Project Zero é tão rápido para revelar vulnerabilidades nos produtos da própria Google como é a revelar informações sobre bugs de software de terceiros. Os proponentes do Project Zero afirmam que os benefícios para o público em geral de todas as pesquisas de segurança são imensos e que a Google tem a responsabilidade de pesquisar produtos de software que provavelmente serão usados em conjunto com os seus produtos. A Google anunciou a existência do Project Zero para o público no dia 15 de julho de 2014.

Em fevereiro de 2015, o Project Zero ajustou a sua política de divulgação depois de inadvertidamente causar polémica dentro da comunidade de segurança ao revelar automaticamente uma falha de segurança no Windows 8, embora a Microsoft tivesse notificado a Google que estavam prestes a lançar um patch para corrigir o código problemático. A política revisada do Project Zero agora permite que uma pessoa intervenha e divulgue o problema até 14 dias úteis adicionais, contanto que o fornecedor tenha notificado a Google de que um patch será lançado num dia específico dentro desse período de carência.

Imagem: Windows Team


Também poderão gostar