圖片來源: 

臉書

臉書昨(29)日宣布,將自家檢查Android及Java App漏洞的工具Mariana Trench(MT)以開源專案公開。

為確保旗下行動應用程式,包括FB、IG、WhatsApp的安全性及功能順暢,臉書內部開發出自動化分析工具協助偵測和檢查程式漏洞。今年上半,臉書的自動化工具已經辨識出50多個漏洞。

臉書工程師Dominik Gabi指出,Mariana Trench專案是臉書釋出的第3個程式碼靜態與動態分析工具。在此之前,臉書已釋出Zoncolan及Pysa二項分析工具。三者的運作方式相似,不同的是Zoncolan及Pysa分別分析Hack及Python程式碼,而Mariana Trench則用來分析Android和Java App。

安全分析師是藉由分析程式碼從Source到Sink之間資料流的種種路徑來找出漏洞。臉書指出,大的Codebase中往往包含多種不同類別的Source及Sink,Mariana Trench正是為了掃瞄包括數千萬行程式碼的大型行動App codebase的瑕疵或漏洞而設計,可大幅加速程式碼檢查的速度。

臉書的技術文件網頁寫道,Mariana Trench藉由分析Dalvik bytecode來找出Android和Java程式安全漏洞。它使用名為抽象釋義(abstract interpretation)的靜態分析手法建立一組模型,推測Java method各種資料路徑。安全分析工程師可以透過定義規則,讓它產出可能的資料路徑,藉此分析發現App之中的安全及隱私問題。

除了快速外,臉書並指出,Mariana Trench另一優點是可客製化。安全分析人員經由長期規則設定及告知資料來源,逐漸訓練它來符合組織的需求。

目前這項工具資源已經經由GitHub開放


熱門新聞

Advertisement