Facebook phát hành công cụ mới tìm ra lỗi bảo mật và quyền riêng tư trong ứng dụng Android

www.tuoitre.vn -   30/09/2021 08:00:00 310

Facebook hôm thứ Tư đã công bố nguồn mở Mariana Trench, một nền tảng phân tích tĩnh tập trung vào Android mà công ty sử dụng để phát hiện và ngăn chặn các lỗi bảo mật và quyền riêng tư trong các ứng dụng được tạo cho hệ điều hành di động trên quy mô lớn.

Facebook phát hành công cụ mới tìm ra lỗi bảo mật và quyền riêng tư trong ứng dụng Android

"[Mariana Trench] được thiết kế để có thể quét các cơ sở mã di động lớn và gắn cờ các vấn đề tiềm ẩn đối với các yêu cầu kéo trước khi chúng được đưa vào sản xuất", người khổng lồ công nghệ xã hội có trụ sở tại Menlo Park cho biết.

Tóm lại, tiện ích này cho phép các nhà phát triển lập khung các quy tắc cho các luồng dữ liệu khác nhau để quét cơ sở mã nhằm phát hiện các vấn đề tiềm ẩn - ví dụ, các lỗi chuyển hướng có ý định có thể dẫn đến việc rò rỉ dữ liệu nhạy cảm hoặc các lỗ hổng tiêm có thể cho phép kẻ thù chèn vào mã tùy ý - thiết lập ranh giới rõ ràng về nơi dữ liệu do người dùng cung cấp khi nhập ứng dụng được phép đến từ (nguồn) và chuyển vào (chìm), chẳng hạn như các phương thức có thể thực thi mã và truy xuất hoặc tương tác với dữ liệu người dùng.

Các luồng dữ liệu bị phát hiện vi phạm các quy tắc sau đó được hiển thị trở lại cho kỹ sư bảo mật hoặc kỹ sư phần mềm, người đã thực hiện yêu cầu kéo có chứa các thay đổi.

Gã khổng lồ truyền thông xã hội cho biết hơn 50% lỗ hổng được phát hiện trên dòng ứng dụng của họ, bao gồm Facebook, Instagram và WhatsApp, được tìm thấy bằng các công cụ tự động. Mariana Trench cũng đánh dấu dịch vụ thứ ba mà công ty có nguồn mở sau Zoncolan và Pysa, mỗi dịch vụ này đều nhắm mục tiêu đến các ngôn ngữ lập trình Hack và Python.

Sự phát triển này cũng theo sau các động thái tương tự từ GitHub thuộc sở hữu của Microsoft, công ty đã mua lại Semmle và ra mắt Phòng thí nghiệm bảo mật vào năm 2019 với mục đích bảo mật phần mềm nguồn mở, ngoài việc cung cấp miễn phí các công cụ phân tích mã ngữ nghĩa như CodeQL để phát hiện các lỗ hổng bảo mật một cách công khai. mã có sẵn.

Công ty cho biết: “Có sự khác biệt trong việc vá lỗi và đảm bảo việc áp dụng các bản cập nhật mã giữa các ứng dụng di động và web, vì vậy chúng yêu cầu các cách tiếp cận khác nhau”.

"Mặc dù mã phía máy chủ có thể được cập nhật gần như ngay lập tức cho các ứng dụng web, nhưng việc giảm thiểu lỗi bảo mật trong ứng dụng Android phụ thuộc vào việc mỗi người dùng cập nhật ứng dụng trên thiết bị của họ một cách kịp thời. Điều này làm cho nó trở nên quan trọng hơn nhiều đối với bất kỳ ứng dụng nào nhà phát triển đưa các hệ thống vào vị trí để giúp ngăn chặn các lỗ hổng bảo mật đưa nó vào các bản phát hành di động, bất cứ khi nào có thể. "

Mariana Trench có thể được truy cập tại đây thông qua GitHub và Facebook cũng đã phát hành một gói Python trên kho lưu trữ PyPi.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Cập nhật ngay máy tính Windows ngay lập ...

15/10/2021 08:00:00 15
Microsoft đã tung ra các bản vá bảo mật cho tổng cộng 71 lỗ hổng trong Microsoft Windows và các phần...

Kaspersky trao đổi về sự chuyển dịch của...

14/10/2021 08:00:00 105
Sự kiện Cybersecurity Weekend lần thứ 7 do Kaspersky tổ chức tập trung thảo luận chi tiết về thái độ...

Apple khẩn cấp phát hành bản vá lỗi cho ...

12/10/2021 08:00:00 79
Hôm thứ Hai, Apple đã phát hành một bản cập nhật bảo mật cho iOS và iPad để giải quyết một lỗ hổng n...

3 chiêu trò lừa đảo tinh vi trên mạng xã...

11/10/2021 08:00:00 72
Ngày nay, những kẻ lừa đảo ngày càng phát triển một cách tinh vi. Dưới đây là một số chiến thuật mới...

Apple yêu cầu tất cả các ứng dụng cho ph...

08/10/2021 08:00:00 98
Apple cho biết, tất cả các ứng dụng iOS, iPadOS và macOS của bên thứ ba cho phép người dùng tạo tài ...

150 triệu người dùng của Google đã được ...

06/10/2021 02:00:00 163
Google đã công bố kế hoạch tự động đăng ký khoảng 150 triệu người dùng vào chương trình xác thực hai...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ