Eu acreditava que falhas de segurança, ao serem descobertas, deveriam ser informadas ao responsável, e depois de algum tempo (principalmente depois que foram corrigidas) divulgadas para evitar que se repetissem.

O problema com esse raciocínio é que ele é lindo na teoria, mas totalmente falho na prática.

Quando uma falha de segurança é descoberta, a primeira coisa que o envolvido tenta é abafar o caso e tentar evitar ao máximo a sua divulgação, por uma questão bem simples: é muito mais barato abafar do que corrigir o problema.

Exemplos?? Vários! Podemos começar pela Symantec, que teve códigos-fonte de programas roubados, e depois os hackers que fizeram o roubo tentaram aparentemente extorquir a empresa. No final os códigos foram liberados e a empresa soltou um comunicado pedindo a seus clientes que deixem de usar alguns de seus produtos por algum tempo.

O detalhe: em 2006 houve uma invasão aos servidores da empresa, onde código-fonte foi roubado, e mesmo assim eles continuaram usando esse código ao invés de refazê-lo…algo que seria muito mais caro e trabalhoso. Mas muito mais seguro.

Outro exemplo é o do recém divulgado problema com o Bilhete Único de São Paulo (bilhete utilizado para pagar as passagens de ônibus, trem e metrô na região metropolitana da cidade). Originalmente quem descobriu a falha diz que avisou a empresa e não liberou nenhuma informação, exceto um vídeo onde mostram o problema. Fez o certo.

Só que hoje chega a notícia de que essa falha já é conhecida há pelo menos 1 ano, e que a empresa (SPTrans) já havia sido avisada, sem ter tomado nenhuma atitude . Resultado? Divulgaram todos os detalhes da falha e de como explorá-la. Agora a empresa será obrigado a se mexer, e muito rápido.

Se a falha já é conhecida a tanto tempo, quantas pessoas será que não se utilizam desse artifício para furtar dinheiro, com conivência da própria empresa que nada fez para impedir?

A partir do momento que uma empresa é avisada sobre uma falha de segurança já se deve supor que essa falha está sendo explorada, portanto a correção do problema requer urgência.

No Android, infelizmente, não existe essa urgência. O motivo é simples: como o sistema é aberto, usa e altera quem quer. É isso que os fabricantes e operadoras fazem e adoram. Aí quando aparece uma falha, que a Google resolve rapidamente, a maioria dos usuários só vai receber essa atualização quando (e se) der na telha do fabricante/operadora.

Basta ver o gráfico de utilização do sistema pelo mundo para ter uma visão clara. O problema não é na troca de versão do sistema, como do FroYo (2.2) para o Gingerbread (2.3), mas nas versões internas, como do 2.3.3 para o 2.3.7. É o mesmo sistema, com correções de bugs e de segurança. Mas que nem todo mundo recebe porque as empresas não tem interesse…

Essas falhas precisam ser divulgadas, e os usuários precisam pressionar pelas correções e disponibilização de sistemas atualizados.