Google分享Project Zero漏洞通報流程，同場加映充滿Bug的通報之旅遊記

別因法律程序讓通報者不開心

至於法律協議也是常見的問題，雖然它跟懸賞獎勵或程式碼歸屬有關，但是通報者往往無法代表自己所屬的公司簽定協議，所以需要費時在繁瑣的行政程序。良好的流程應該能讓通報略過法律程序。

最後，即使漏洞通報流程設計相當完善，仍無法避免會存在一些小問題，所以廠商也應該提供意見反映的管道，讓通報者能提出建議或是尋求協助，讓通報過程更加流暢。

▲ 通報者通常不太喜歡流程因法律協議造成延宕。

Samsung智慧型手機漏洞通報實例

Project Zero以CVE-2018-10751資安漏洞為例，說明困難的通報流程所遇到的問題。這個漏洞存在Samsung S7 Edge智慧型手機，攻擊者傳送1條簡訊到目標裝置後，不需要使用者進行任何確認或操作，就能觸發緩衝區溢位。

CVE-2018-10751是個嚴重的資安問題，Project Zero團隊希望能馬上完成通報，於是便前往Samsung的行動裝置資安通報網頁瀏覽說明資訊，並在該網頁找到通報（Create Report）按鈕。

在沒有該網站帳號的情況下點選通報之後，跳出的網頁卻是以韓文撰寫（猜得到應該是註冊與登入），由於通報者看不懂韓文，所以只好回到上一頁尋找註冊選項，好在這次跳出的網頁是英文版。

接下來通報者需要閱讀並同意註冊條款，然而點下連結之後，總共有超過20條同意事項，其中大多數卻與漏洞通報沒有關聯，更慘的是正文的部分還是以韓文撰寫。由於條款相當繁雜（而且看不懂），所以通報者只稍微瞄一下，便點下同意。接下來網頁出現輸入帳號資料的對話框，但通報者並不希望留下生日和郵遞區號等個人資料，不過為了建立帳號，還是照著網頁指示做。

做到這一步總算可以開始輸入報告，而在填寫完通報表單後，往下選動網頁，還有獎勵同意事項等著確認，其中內容包括下列2段文字：

- You MUST hold off disclosing the vulnerability in reasonable time, and you MUST get Samsung’s  consent or inform Samsung about the date before disclosing the vulnerability.（通報者需要在合理的時間過後才能公開揭露漏洞，並需獲得Samsung的同意或在揭露前向Samsung通知日期。）
- In some cases, Samsung may request not to disclose the vulnerability at all. （在某些情況下，Samsung可能會要求不要揭露漏洞。）

如果不同意Samsung對公開揭露所做的控制，就無法提交表單，而Samsung也沒有提供可以報告問題的E-mail地址，這讓通報者感到相當不舒服。

通報者在過程中遇到很多問題，最後還是向Samsung Knox資安團隊的成員求助，才能在1週的時間完成通報，否則將會延誤更多時間。

事件過後，Samsung是在約2個月的時間後推出相關更新檔，並修正註冊網頁的語言問題，也讓通報者在不勾選獎勵同意事項的情況下送出表單，讓流程有所簡化。

▲ Samsung行動裝置資安通報網頁具有說明與通報按鈕。（圖片來源：Google，下同）

▲ 從英文網頁進行登入動作，跳出來的表單卻是韓文版。

▲ 同意條款的項目很多，卻跟漏洞通報沒有太大的關聯。

▲ 由於同意條款落落長，而且還是韓文，所以通報者也沒有認真看完就點選同意。

▲ 千呼萬喚始出來的通報表單。

▲ 如果要提交表單，就需同意Samsung對公開揭露所做的控制。

如果通報流程太過繁瑣，很可能會造成通報延宕、遺失，甚至是通報者放棄通報等情況，最後導致資安的負面影響。Project Zero團隊非常感謝廠商著手改善流程，並建議廠商應提供多國語言介面並測試系統運作，也應盡可能簡化流程、刪除過多法律協議，最後還需定期接納回饋意見，讓通報系統更有效率，以利各界合作聯手打造更安全的環境。