L'outil open source de Facebook pour trouver des failles de sécurité dans les applications Android

  • Principal
  • Nouvelles
  • L'outil open source de Facebook pour trouver des failles de sécurité dans les applications Android

Facebook a ouvert un outil d'analyse statique que ses ingénieurs en logiciels et en sécurité utilisent en interne pour trouver des failles de sécurité et de confidentialité potentiellement dangereuses dans les applications Android et Java de l'entreprise.

Cet outil axé sur la sécurité, appelé Mariana Trench (MT), peut analyser de grandes bases de code de dizaines de millions de lignes de code à la recherche de vulnérabilités avant qu'elles ne soient introduites dans la base de code.

Facebook a révélé que ses ingénieurs ont trouvé plus de 50 % de tous les bogues de sécurité dans les applications de l'entreprise à l'aide d'outils automatisés similaires à Mariana Trench.

Comment ça marche

Mariana Trench fonctionne en analysant le flux d'informations depuis les « sources » (données utilisateur sensibles telles que les mots de passe ou les emplacements) vers les « puits » (fonctions ou méthodes qui utilisent les données sources).

Mariana Trench est spécialement conçue pour détecter automatiquement les problèmes qui, dans la plupart des cas, pourraient entraîner de graves problèmes de confidentialité et de sécurité.

'Par défaut, Mariana Trench analyse le bytecode de Dalvik et peut travailler avec ou sans accès au code source', explique Facebook sur le site de documentation de l'outil.

'Un flux des sources vers les puits indique que, par exemple, les mots de passe des utilisateurs peuvent être enregistrés dans un fichier, ce qui n'est pas souhaitable et est qualifié de' problème 'dans le contexte de la fosse des Mariannes', a-t-il déclaré. ingénieur logiciel chez Facebook Dominik. Gaby.

Les développeurs et les ingénieurs peuvent utiliser l'outil pour cibler des problèmes de sécurité et de confidentialité spécifiques en l'ajustant et en l'autonomisant en ajoutant de nouvelles règles et des générateurs de modèles pour s'adapter aux zones où les données sensibles ne devraient pas se retrouver.

Troisième outil d'analyse de code open source depuis 2019

La société a précédemment publié deux autres outils d'analyse de code statique conçus pour détecter et prévenir les problèmes de sécurité pour le code Python (Pysa) et Hack (Zoncolan).

Vous pouvez trouver l'outil d'analyse de code Mariana Trench sur GitHub et son site Web dédié, une distribution binaire sur PyPI et un petit tutoriel pour vous aider à démarrer.

Nous avons créé MT pour nous concentrer spécifiquement sur les applications Android. Il existe des différences dans les correctifs et la garantie que les mises à jour du code sont adoptées entre les applications mobiles et Web, elles nécessitent donc des approches différentes, a ajouté Gabi.

'Alors que le code côté serveur peut être mis à jour presque instantanément pour les applications Web, l'atténuation d'une faille de sécurité dans une application Android dépend de la mise à jour opportune de l'application par chaque utilisateur sur l'appareil qu'il possède.

'Cela rend d'autant plus important pour tout développeur d'applications d'implémenter des systèmes pour aider à empêcher les vulnérabilités de devenir des versions mobiles dans la mesure du possible.'

Qu'est-ce que tu penses?