Facebook phát hành công cụ mới tìm ra lỗi bảo mật và quyền riêng tư trong ứng dụng Android

www.tuoitre.vn -   30/09/2021 08:00:00 1187

Facebook hôm thứ Tư đã công bố nguồn mở Mariana Trench, một nền tảng phân tích tĩnh tập trung vào Android mà công ty sử dụng để phát hiện và ngăn chặn các lỗi bảo mật và quyền riêng tư trong các ứng dụng được tạo cho hệ điều hành di động trên quy mô lớn.

Facebook phát hành công cụ mới tìm ra lỗi bảo mật và quyền riêng tư trong ứng dụng Android

"[Mariana Trench] được thiết kế để có thể quét các cơ sở mã di động lớn và gắn cờ các vấn đề tiềm ẩn đối với các yêu cầu kéo trước khi chúng được đưa vào sản xuất", người khổng lồ công nghệ xã hội có trụ sở tại Menlo Park cho biết.

Tóm lại, tiện ích này cho phép các nhà phát triển lập khung các quy tắc cho các luồng dữ liệu khác nhau để quét cơ sở mã nhằm phát hiện các vấn đề tiềm ẩn - ví dụ, các lỗi chuyển hướng có ý định có thể dẫn đến việc rò rỉ dữ liệu nhạy cảm hoặc các lỗ hổng tiêm có thể cho phép kẻ thù chèn vào mã tùy ý - thiết lập ranh giới rõ ràng về nơi dữ liệu do người dùng cung cấp khi nhập ứng dụng được phép đến từ (nguồn) và chuyển vào (chìm), chẳng hạn như các phương thức có thể thực thi mã và truy xuất hoặc tương tác với dữ liệu người dùng.

Các luồng dữ liệu bị phát hiện vi phạm các quy tắc sau đó được hiển thị trở lại cho kỹ sư bảo mật hoặc kỹ sư phần mềm, người đã thực hiện yêu cầu kéo có chứa các thay đổi.

Gã khổng lồ truyền thông xã hội cho biết hơn 50% lỗ hổng được phát hiện trên dòng ứng dụng của họ, bao gồm Facebook, Instagram và WhatsApp, được tìm thấy bằng các công cụ tự động. Mariana Trench cũng đánh dấu dịch vụ thứ ba mà công ty có nguồn mở sau Zoncolan và Pysa, mỗi dịch vụ này đều nhắm mục tiêu đến các ngôn ngữ lập trình Hack và Python.

Sự phát triển này cũng theo sau các động thái tương tự từ GitHub thuộc sở hữu của Microsoft, công ty đã mua lại Semmle và ra mắt Phòng thí nghiệm bảo mật vào năm 2019 với mục đích bảo mật phần mềm nguồn mở, ngoài việc cung cấp miễn phí các công cụ phân tích mã ngữ nghĩa như CodeQL để phát hiện các lỗ hổng bảo mật một cách công khai. mã có sẵn.

Công ty cho biết: “Có sự khác biệt trong việc vá lỗi và đảm bảo việc áp dụng các bản cập nhật mã giữa các ứng dụng di động và web, vì vậy chúng yêu cầu các cách tiếp cận khác nhau”.

"Mặc dù mã phía máy chủ có thể được cập nhật gần như ngay lập tức cho các ứng dụng web, nhưng việc giảm thiểu lỗi bảo mật trong ứng dụng Android phụ thuộc vào việc mỗi người dùng cập nhật ứng dụng trên thiết bị của họ một cách kịp thời. Điều này làm cho nó trở nên quan trọng hơn nhiều đối với bất kỳ ứng dụng nào nhà phát triển đưa các hệ thống vào vị trí để giúp ngăn chặn các lỗ hổng bảo mật đưa nó vào các bản phát hành di động, bất cứ khi nào có thể. "

Mariana Trench có thể được truy cập tại đây thông qua GitHub và Facebook cũng đã phát hành một gói Python trên kho lưu trữ PyPi.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 209
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 158
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 282
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 275
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 294
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 156
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ