ADVERTISEMENT
別因法律程序讓通報者不開心
至於法律協議也是常見的問題,雖然它跟懸賞獎勵或程式碼歸屬有關,但是通報者往往無法代表自己所屬的公司簽定協議,所以需要費時在繁瑣的行政程序。良好的流程應該能讓通報略過法律程序。
最後,即使漏洞通報流程設計相當完善,仍無法避免會存在一些小問題,所以廠商也應該提供意見反映的管道,讓通報者能提出建議或是尋求協助,讓通報過程更加流暢。
Samsung智慧型手機漏洞通報實例
Project Zero以CVE-2018-10751資安漏洞為例,說明困難的通報流程所遇到的問題。這個漏洞存在Samsung S7 Edge智慧型手機,攻擊者傳送1條簡訊到目標裝置後,不需要使用者進行任何確認或操作,就能觸發緩衝區溢位。
CVE-2018-10751是個嚴重的資安問題,Project Zero團隊希望能馬上完成通報,於是便前往Samsung的行動裝置資安通報網頁瀏覽說明資訊,並在該網頁找到通報(Create Report)按鈕。
在沒有該網站帳號的情況下點選通報之後,跳出的網頁卻是以韓文撰寫(猜得到應該是註冊與登入),由於通報者看不懂韓文,所以只好回到上一頁尋找註冊選項,好在這次跳出的網頁是英文版。
接下來通報者需要閱讀並同意註冊條款,然而點下連結之後,總共有超過20條同意事項,其中大多數卻與漏洞通報沒有關聯,更慘的是正文的部分還是以韓文撰寫。由於條款相當繁雜(而且看不懂),所以通報者只稍微瞄一下,便點下同意。接下來網頁出現輸入帳號資料的對話框,但通報者並不希望留下生日和郵遞區號等個人資料,不過為了建立帳號,還是照著網頁指示做。
做到這一步總算可以開始輸入報告,而在填寫完通報表單後,往下選動網頁,還有獎勵同意事項等著確認,其中內容包括下列2段文字:
- You MUST hold off disclosing the vulnerability in reasonable time, and you MUST get Samsung’s consent or inform Samsung about the date before disclosing the vulnerability.(通報者需要在合理的時間過後才能公開揭露漏洞,並需獲得Samsung的同意或在揭露前向Samsung通知日期。)
- In some cases, Samsung may request not to disclose the vulnerability at all. (在某些情況下,Samsung可能會要求不要揭露漏洞。)
如果不同意Samsung對公開揭露所做的控制,就無法提交表單,而Samsung也沒有提供可以報告問題的E-mail地址,這讓通報者感到相當不舒服。
通報者在過程中遇到很多問題,最後還是向Samsung Knox資安團隊的成員求助,才能在1週的時間完成通報,否則將會延誤更多時間。
事件過後,Samsung是在約2個月的時間後推出相關更新檔,並修正註冊網頁的語言問題,也讓通報者在不勾選獎勵同意事項的情況下送出表單,讓流程有所簡化。
如果通報流程太過繁瑣,很可能會造成通報延宕、遺失,甚至是通報者放棄通報等情況,最後導致資安的負面影響。Project Zero團隊非常感謝廠商著手改善流程,並建議廠商應提供多國語言介面並測試系統運作,也應盡可能簡化流程、刪除過多法律協議,最後還需定期接納回饋意見,讓通報系統更有效率,以利各界合作聯手打造更安全的環境。
第一頁
1、零日攻擊(Zero-Day Eexploit) Eexploit > Exploit
2、資「全」漏洞 > 資「安」漏洞
3、向各相關廠商通報「與」Bug > (贅字)
第二頁
4、提供意見反應的管道 > 提供意見反「映」的管道
5、「來」跳出的網頁x2 > 跳出「來」的網頁
6、總共有超過20條同「時」事項 > 「意」
7、事「見」過後後 > 事「件」過後
另外,那個「Samsung智慧型手機漏洞通報實例」,有些地方看不太懂(Google連結的原文亦同)!
感覺部分圖片之排列順序與說明文字,似乎有誤。
> 另外,那個「Samsung智慧型手機漏洞通報實例」,有些地方看不太懂(Google連結的原文亦同)!
> 感覺部分圖片之排列順序與說明文字,似乎有誤。
>
感謝您細心提醒,已修正錯誤
--
圖片的部分是沒有錯的。
簡單的說,就是在入口網頁會引導至韓文登入網頁。
然後手動退出、找到英文登入網頁後,在註冊時同意事項的大標題是英文,但內文又變成韓文。
最後在填表單的時候,又出現幾項同意事項。
過程曲折離奇,所以感覺有點混亂XD
Special terms 那張圖,看起來不太像是"同意條款",
而比較像是讓回報者選擇要通報的"類別"。
也就是說,
"感覺"它應該是在同意條款那頁之後才會出現...
> 呃...我的意思是
> Special terms 那張圖,看起來不太像是"同意條款",
> 而比較像是讓回報者選擇要通報的"類別"。
> 也就是說,
> "感覺"它應該是在同意條款那頁之後才會出現...
>
Term這個字本身就是條款的意思。
這邊應該是指除了有全體通用的條款之外,各種不同裝置還會有各別的特殊條款。