Facebook phát hành công cụ mới tìm ra lỗi bảo mật và quyền riêng tư trong ứng dụng Android

Facebook hôm thứ Tư đã công bố nguồn mở Mariana Trench, một nền tảng phân tích tĩnh tập trung vào Android mà công ty sử dụng để phát hiện và ngăn chặn các lỗi bảo mật và quyền riêng tư trong các ứng dụng được tạo cho hệ điều hành di động trên quy mô lớn.

"[Mariana Trench] được thiết kế để có thể quét các cơ sở mã di động lớn và gắn cờ các vấn đề tiềm ẩn đối với các yêu cầu kéo trước khi chúng được đưa vào sản xuất", người khổng lồ công nghệ xã hội có trụ sở tại Menlo Park cho biết.

Tóm lại, tiện ích này cho phép các nhà phát triển lập khung các quy tắc cho các luồng dữ liệu khác nhau để quét cơ sở mã nhằm phát hiện các vấn đề tiềm ẩn - ví dụ, các lỗi chuyển hướng có ý định có thể dẫn đến việc rò rỉ dữ liệu nhạy cảm hoặc các lỗ hổng tiêm có thể cho phép kẻ thù chèn vào mã tùy ý - thiết lập ranh giới rõ ràng về nơi dữ liệu do người dùng cung cấp khi nhập ứng dụng được phép đến từ (nguồn) và chuyển vào (chìm), chẳng hạn như các phương thức có thể thực thi mã và truy xuất hoặc tương tác với dữ liệu người dùng.

Các luồng dữ liệu bị phát hiện vi phạm các quy tắc sau đó được hiển thị trở lại cho kỹ sư bảo mật hoặc kỹ sư phần mềm, người đã thực hiện yêu cầu kéo có chứa các thay đổi.

Gã khổng lồ truyền thông xã hội cho biết hơn 50% lỗ hổng được phát hiện trên dòng ứng dụng của họ, bao gồm Facebook, Instagram và WhatsApp, được tìm thấy bằng các công cụ tự động. Mariana Trench cũng đánh dấu dịch vụ thứ ba mà công ty có nguồn mở sau Zoncolan và Pysa, mỗi dịch vụ này đều nhắm mục tiêu đến các ngôn ngữ lập trình Hack và Python.

Sự phát triển này cũng theo sau các động thái tương tự từ GitHub thuộc sở hữu của Microsoft, công ty đã mua lại Semmle và ra mắt Phòng thí nghiệm bảo mật vào năm 2019 với mục đích bảo mật phần mềm nguồn mở, ngoài việc cung cấp miễn phí các công cụ phân tích mã ngữ nghĩa như CodeQL để phát hiện các lỗ hổng bảo mật một cách công khai. mã có sẵn.

Công ty cho biết: “Có sự khác biệt trong việc vá lỗi và đảm bảo việc áp dụng các bản cập nhật mã giữa các ứng dụng di động và web, vì vậy chúng yêu cầu các cách tiếp cận khác nhau”.

"Mặc dù mã phía máy chủ có thể được cập nhật gần như ngay lập tức cho các ứng dụng web, nhưng việc giảm thiểu lỗi bảo mật trong ứng dụng Android phụ thuộc vào việc mỗi người dùng cập nhật ứng dụng trên thiết bị của họ một cách kịp thời. Điều này làm cho nó trở nên quan trọng hơn nhiều đối với bất kỳ ứng dụng nào nhà phát triển đưa các hệ thống vào vị trí để giúp ngăn chặn các lỗ hổng bảo mật đưa nó vào các bản phát hành di động, bất cứ khi nào có thể. "

Mariana Trench có thể được truy cập tại đây thông qua GitHub và Facebook cũng đã phát hành một gói Python trên kho lưu trữ PyPi.

Hương – Theo TheHackerNews