Google Chrome é o browser mais vulnerável do mercado? Não é bem assim...

Rui Bacelar
Comentar

Fez recentemente as manchetes de várias publicações o estudo que colocava o browser Google Chrome como o navegador, mais popular, e com mais vulnerabilidades registadas durante o ano de 2022.

Desde logo, importa frisar que pelo simples facto de as vulnerabilidades terem sido descobertas, não há um juízo de equivalência com a segurança do programa propriamente dito.

Google Chrome é o browser mais popular do mundo em 2022

Isto é, apesar do que também noticiamos previamente, não é tal um atestado de insegurança do browser. Ou seja, o facto de ter sido o Google Chrome o navegador com mais falhas detetadas, não significa que este seja o menos seguro do mundo.

Tal juízo de valor é precipitado, sendo baseado, primariamente, no estudo publicado pela Atlas VPN, uma filial da Nord Security. De acordo com o relatório em questão, sustentado nas métricas colhidas pela VULDB, o Chrome foi o browser com maior número de vulnerabilidades detetadas durante o ano de 2022.

Google Chrome

Mais concretamente, até ao dia 5 de outubro haviam sido detetadas 303 vulnerabilidades este ano. Ademais, o valor cumulativo de vulnerabilidades detetadas desde o lançamento do Chrome no mercado ascende já às 3 159 instâncias. Esta é a informação.

Mais de 3 159 vulnerabilidades cumulativas detetadas no Chrome

Porém, há uma dissonância entre informação e conhecimento cada vez mais vincada na sociedade das tecnologias da informação, e o que diríamos então da sabedoria? Pois bem, o facto de estas vulnerabilidades terem sido detetadas não significa, imediatamente, que um determinado browser é o mais inseguro, ou seguro.

Seeing some less-than-sophisticated “research” on Chrome security this week, and wanted to clarify a few things, because some reporters seem to unfortunately be confused about what CVE *counts* actually mean. The answer: not much. 🧵(1/4)

— Parisa Tabriz (@laparisa) 7 de outubro de 2022

Importa aqui pegar nesta informação e confrontar a mesma com o esforço de correção destas lacunas pela Google. Ora, importa saber quantas destas vulnerabilidades foram corrigidas e a tempestividade com que tal esforço teve lugar.

Assim sendo, colhemos o testemunho da programadora @laparisa, em missiva enviada pelos representantes de comunicação da Google.

Vulnerabilidades corrigidas prontamente mitigam potencial risco de segurança

Podemos assim observar, com poucos pruridos, o tom jocoso com que esta programadora refuta a credibilidade, ou melhor, o impacto real das vulnerabilidades apontadas pela Atlas VPN.

Assessing browser security by CVE counts is 💩 & headlines I’ve seen are ridiculous clickbait. Chrome is proud to report & fix security bugs on behalf of the ENTIRE chromium-based browser community. (2/4)

— Parisa Tabriz (@laparisa) 7 de outubro de 2022

Pode ser dito, em plena justiça, que interessa aos provedores de software de segurança online como é o caso amiúde de uma VPN, jogar com a sensação de insegurança dos consumidores.

Porém, tal conjetura não revoga a validade das métricas colhidas pela base de dados VULDB. Ainda assim, pode ser dito que Chrome e vários outros navegadores usam o software livre Chromium, para qualquer interessado possa trabalhar o software.

Falhas corrigidas com prontidão pela Google

Desse modo, é apenas lógico ver as falhas aparecerem com mais regularidade, seja pela popularidade do Chrome, mas sobretudo pela popularidade do "esqueleto" que lhe dá corpo.

Porquanto, sendo o interesse precisamente encontrar e sinalizar estas vulnerabilidades para permitir que sejam corrigidas o mais rapidamente possível.

How can other browsers that depend on chromium have 0 vulns? They either have no additional bugs in their non-chromium code, or aren't issuing CVEs for them … 🤔 (3/4)

— Parisa Tabriz (@laparisa) 7 de outubro de 2022

Pode ser dito, por fim, segundo a informação entretanto disponível, que estas 300 falhas detetadas desde o início do ano terão sido prontamente corrigidas. Isto é, após a sua sinalização na base de dados referida supra, as mesmas terão sido colmatadas com a maior brevidade.

Em suma, mais falhas e vulnerabilidades corrigidas é um aspeto positivo, pois pior seria se estas tivessem sido apenas ignoradas pelos responsáveis. Ou seja, não é de todo sábio equivaler um maior número de vulnerabilidades detetadas, e como se viu, corrigidas com prontidão, a uma maior, ou menor insegurança de uma solução.

More bugs fixed year over year is a good thing. Bugs exist in every piece of software out there, so if you think less bug fixes = more security, a lot of folks on my team would love to have a word 👀 (4/4)

— Parisa Tabriz (@laparisa) 7 de outubro de 2022

Editores 4gnews recomendam:

Rui Bacelar
Rui Bacelar
Na escrita e comunicação repousa o gosto, nas leis a formação. Ocupa-se com as novidades de tecnologia na 4gnews. Email: ruifbacelar@4gnews.pt