Facebook發(fā)布新工具，可查找Android應(yīng)用程序中的安全和隱私漏洞

9月29日，F(xiàn)acebook宣布開源Mariana Trench，這是一個(gè)專注于Android的靜態(tài)分析平臺(tái)，該平臺(tái)用于檢測(cè)和防止為移動(dòng)操作系統(tǒng)大規(guī)模創(chuàng)建的應(yīng)用程序中的安全和隱私漏洞。

Facebook表示，“[Mariana Trench] 旨在能夠掃描大型移動(dòng)代碼庫(kù)并在拉取請(qǐng)求投入生產(chǎn)之前標(biāo)記潛在問題?！?/p>

簡(jiǎn)而言之，該實(shí)用程序允許開發(fā)人員為不同的數(shù)據(jù)流制定規(guī)則以掃描代碼庫(kù)，以發(fā)現(xiàn)潛在問題。

例如，可能導(dǎo)致敏感數(shù)據(jù)泄漏的意圖重定向缺陷，或允許攻擊者插入的注入漏洞任意代碼——明確設(shè)置用戶提供的數(shù)據(jù)進(jìn)入應(yīng)用程序的邊界，允許來自(源)和流入(接收器)，如數(shù)據(jù)庫(kù)、文件、網(wǎng)絡(luò)視圖或日志。

發(fā)現(xiàn)違反規(guī)則的數(shù)據(jù)流會(huì)返回給安全工程師或發(fā)出包含更改的拉取請(qǐng)求。

Facebook表示，在其應(yīng)用程序(包括 Facebook、Instagram 和 WhatsApp)中檢測(cè)到的漏洞，有超過50%是使用自動(dòng)化工具發(fā)現(xiàn)的。Mariana Trench也標(biāo)志著該公司在Zoncolan和Pysa之后開源的第三項(xiàng)此類服務(wù)，它們分別針對(duì)Hack和 Python 編程語言。

在此之前，微軟旗下的GitHub也采取了類似的舉措，該公司于2019年收購(gòu)了Semmle并啟動(dòng)了一個(gè)安全實(shí)驗(yàn)室，旨在保護(hù)開源軟件，此外還免費(fèi)提供諸如CodeQL之類的語義代碼分析工具，以發(fā)現(xiàn)公開代碼中的漏洞。

該公司表示：“在移動(dòng)和Web應(yīng)用程序之間補(bǔ)丁和確保代碼更新方面存在差異，因此它們需要不同的方法?！?/p>

“雖然Web應(yīng)用程序的服務(wù)器端代碼幾乎可以即時(shí)更新，但緩解Android應(yīng)用程序中的安全漏洞，需要依賴于每個(gè)用戶及時(shí)更新自己設(shè)備上的應(yīng)用程序。這就使得任何應(yīng)用開發(fā)者都需要有相應(yīng)的系統(tǒng)來防止漏洞出現(xiàn)在手機(jī)版本中，這一點(diǎn)變得尤為重要。”

Mariana Trench可以通過GitHub訪問，F(xiàn)acebook也在PyPi庫(kù)上發(fā)布了一個(gè)Python包。

多數(shù)情況下，漏洞的存在都是由于系統(tǒng)中出現(xiàn)代碼缺陷，而這種缺陷由人工檢查或不易發(fā)覺或費(fèi)時(shí)費(fèi)力，所以就需要借助靜態(tài)代碼檢測(cè)工具。靜態(tài)代碼檢測(cè)可以幫助開發(fā)人員減少30%-70%的安全漏洞，大大提高軟件安全性。隨著網(wǎng)絡(luò)安全防御已從傳統(tǒng)外部防護(hù)延展到軟件內(nèi)部安全建設(shè)，在軟件開發(fā)階段實(shí)時(shí)檢測(cè)、修復(fù)代碼漏洞，提升軟件本身的安全屬性，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，已經(jīng)成為國(guó)際共識(shí)。

參讀鏈接：

https://thehackernews.com/2021/09/facebook-releases-new-tool-that-finds.html