Hôm qua, Facebook đã công bố mã nguồn mở của Mariana Trench, một công cụ phân tích tĩnh nhằm bảo mật cho Android được công ty sử dụng để phát hiện và ngăn chặn các lỗ hổng bảo mật và quyền riêng tư trong các ứng dụng trên nền tảng Android.
Facebook cho biết "Mariana Trench có thể quét lượng lớn các mã nguồn di động và gắn nhãn các vấn đề tiềm ẩn đối với các pull requests trước khi chúng được đưa vào hệ thống thực tế".
Tiện ích này cho phép các nhà phát triển tạo ra các khung quy tắc cho các luồng dữ liệu khác nhau để quét mã nguồn nhằm phát hiện ra các vấn đề tiềm ẩn như lỗi chuyển hướng có chủ đích có thể làm rò rỉ dữ liệu nhạy cảm hoặc các lỗ hổng injection cho phép tin tặc chèn vào mã tùy ý; quy định rõ về nguồn/loại dữ liệu người dùng có thể cung cấp cho ứng dụng và nơi dữ liệu đó được lưu trữ/xử lí phía máy chủ.
Các luồng dữ liệu bị phát hiện vi phạm các quy tắc sẽ được thông báo lại cho các kỹ sư hoặc nhà phát triển đã thực hiện yêu cầu pull để họ khắc phục nó.
Công ty cho biết hơn 50% lỗ hổng được phát hiện trên các ứng dụng của họ, bao gồm Facebook, Instagram và WhatsApp, được tìm thấy bằng các công cụ tự động. Mariana Trench là dịch vụ mã nguồn mở thứ ba của Facebook, sau Zoncolan và Pysa.
Trước đó, GitHub (thuộc sở hữu của Microsoft) cũng có các động thái tương tự với việc mua lại Semmle và ra mắt Phòng thí nghiệm bảo mật vào năm 2019 nhằm mục đích bảo mật phần mềm nguồn mở. Ngoài ra, GitHub cũng cung cấp miễn phí các công cụ phân tích ngữ nghĩa code như CodeQL để phát hiện một số lỗ hổng bảo mật đã công khai.
Công ty cho biết: “Việc vá lỗi trong các ứng dụng web phía máy chủ và việc đảm bảo áp dụng các bản cập nhật trên ứng dụng di động là khác nhau: Mã nguồn ứng dụng phía máy chủ có thể được cập nhật gần như ngay lập tức, nhưng việc giảm thiểu lỗ hổng bảo mật trong ứng dụng Android phụ thuộc vào việc người dùng có kịp thời cập nhật ứng dụng trên thiết bị của họ không”.
Điều này làm cho công cụ trở nên quan trọng hơn bất cứ khi nào nhà phát triển muốn đưa một ứng dụng mới vào hệ thống để giúp ngăn chặn các lỗ hổng bảo mật trong bản phát hành di động mới.
Mariana Trench hiện đã có sẵn trên GitHub và Facebook cũng đã phát hành bản cài đặt công cụ dưới dạng Python package trên kho lưu trữ PyPi.
Nguồn: thehackernews.com.
Tín nhiệm mạng | DMARC là một tiêu chuẩn toàn cầu để xác thực email giúp hạn chế các cuộc tấn công spam và lừa đảo qua thư điện tử.
Tín nhiệm mạng | Sau hơn một tháng triển khai nền tảng "săn" lỗ hổng bảo mật BugRank, chương trình công bố kết quả lần thứ nhất với 80 báo cáo, trong đó có 45 báo cáo hợp lệ và 24 báo cáo được trao thưởng.
Tín nhiệm mạng | Các cơ quan thực thi pháp luật của Nga đã đột kích vào văn phòng của công ty an ninh mạng Group-IB và bắt giam Ilya Sachkov, người sáng lập kiêm giám đốc điều hành của công ty Group-IB, vì nghi ngờ tội phản quốc.
Tín nhiệm mạng | App mang tên PC COVID sẽ thay thế và tích hợp các ứng dụng phòng chống COVID-19 hiện nay. Hiện app đã hoàn thiện về kỹ thuật và đang chờ xét duyệt trên hai chợ ứng dụng Google Play và Apple Store.
Tín nhiệm mạng | Xuất hiện mã độc banking trojan Android mới có tên là ERMAC nhắm mục tiêu vào 378 ứng dụng để lấy cắp dữ liệu tài chính.
Tín nhiệm mạng | Một lỗ hổng mới chưa được khắc phục trong tính năng iCloud Private Relay của Apple có thể bị lạm dụng để làm lộ địa chỉ IP thực của người dùng, ảnh hưởng trên các thiết bị iOS chạy phiên bản mới nhất.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
