Connect with us

Deutsch

Android, Java-Bug-Bunting-Tool Mariana Trench wird Open Source

Published

on

Facebook hat die Bug-Hunting-Software Mariana Trench für die Open-Source-Community freigegeben.

Diese Woche sagte Dominik Gabi, Facebook-Softwareingenieur, in einem Blog-Beitrag, dass Mariana Trench ursprünglich ein internes Tool für die Sicherheitsingenieure des Unternehmens war, jetzt aber der Öffentlichkeit zugänglich gemacht wurde, “um die Sicherheit durch Gebäudeautomation zu skalieren”.

Mariana Trench (MT) ist ein Tool zum Auffinden von Schwachstellen in Android und Java, mit besonderem Fokus auf der Untersuchung von Code in Android-Anwendungen. Laut dem Technologieriesen ist MT in der Lage, “große mobile Codebasen” zu scannen und Benutzer auf potenzielle Sicherheitsprobleme im Code aufmerksam zu machen, indem es den Datenfluss vor der Produktion analysiert.

MT untersucht Datenflüsse als häufige Quelle für Fehler, sei es aufgrund einer falschen Datenexponierung oder -erfassung oder wenn sie Fehler enthalten, die das Einschleusen bösartiger Pakete ermöglichen. MT scannt die Informationsquelle und ihre Senken, verfolgt mögliche Pfade und berechnet dann Modelle mit statischer Analyse, um nach Fehlern und Problemen in der Codebasis zu suchen.

„Ein Sicherheitsingenieur würde damit beginnen, die Grenzen des Datenflusses, auf den sie interessiert ist, grob zu definieren“, erklärte Facebook. „Wenn sie SQL-Injections finden möchte, müsste sie angeben, wo benutzergesteuerte Daten den Code eingeben und wohin er nicht gehen soll. Dies ist jedoch nur der Anfang – eine Regel zu definieren, die die beiden verbindet, ist es nicht.“ Ingenieure müssen auch die identifizierten Probleme überprüfen und die Regeln verfeinern, bis die Ergebnisse ausreichend aussagekräftig sind.“

Facebook warnt davor, dass dieses Tool nur eine Ergänzung des Arsenals eines Sicherheitsingenieurs ist und dass vor der Produktion Fehlalarme berücksichtigt werden müssen.

„Bei der Verwendung von MT bei Facebook legen wir Wert darauf, mehr potenzielle Probleme zu finden, auch wenn dies bedeutet, dass mehr Fehlalarme angezeigt werden“, sagt das Unternehmen. „Das liegt daran, dass uns Randfälle wichtig sind: Datenflüsse, die theoretisch möglich und verwertbar sind, aber in der Produktion selten vorkommen.“

MT ist jetzt auf GitHub verfügbar und eine Binärdistribution wurde auch auf PyPI veröffentlicht. Darüber hinaus hat Facebook mit dem Static Analysis Post Processor (SAPP) ein Analysetool zur Analyse von MT-Ergebnissen veröffentlicht.

Frühere und verwandte Berichterstattung


Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0


Continue Reading

Copyright © 2021 Meta Mag Inc.