资讯专栏INFORMATION COLUMN

Facebook发布新工具,可查找Android应用程序中的安全和隐私漏洞

Tony_Zby / 2441人阅读

摘要:表示,在其应用程序包括和中检测到的漏洞,有超过是使用自动化工具发现的。虽然应用程序的服务器端代码几乎可以即时更新,但缓解应用程序中的安全漏洞,需要依赖于每个用户及时更新自己设备上的应用程序。

9月29日,Facebook宣布开源Mariana Trench,这是一个专注于Android的静态分析平台,该平台用于检测和防止为移动操作系统大规模创建的应用程序中的安全和隐私漏洞。

Facebook表示,“[Mariana Trench] 旨在能够扫描大型移动代码库并在拉取请求投入生产之前标记潜在问题。”

简而言之,该实用程序允许开发人员为不同的数据流制定规则以扫描代码库,以发现潜在问题。

例如,可能导致敏感数据泄漏的意图重定向缺陷,或允许攻击者插入的注入漏洞任意代码——明确设置用户提供的数据进入应用程序的边界,允许来自(源)和流入(接收器),如数据库、文件、网络视图或日志。

图片5.png

发现违反规则的数据流会返回给安全工程师或发出包含更改的拉取请求。

Facebook表示,在其应用程序(包括 Facebook、Instagram 和 WhatsApp)中检测到的漏洞,有超过50%是使用自动化工具发现的。Mariana Trench也标志着该公司在Zoncolan和Pysa之后开源的第三项此类服务,它们分别针对Hack和 Python 编程语言。

在此之前,微软旗下的GitHub也采取了类似的举措,该公司于2019年收购了Semmle并启动了一个安全实验室,旨在保护开源软件,此外还免费提供诸如CodeQL之类的语义代码分析工具,以发现公开代码中的漏洞。

该公司表示:“在移动和Web应用程序之间补丁和确保代码更新方面存在差异,因此它们需要不同的方法。”

“虽然Web应用程序的服务器端代码几乎可以即时更新,但缓解Android应用程序中的安全漏洞,需要依赖于每个用户及时更新自己设备上的应用程序。这就使得任何应用开发者都需要有相应的系统来防止漏洞出现在手机版本中,这一点变得尤为重要。”

Mariana Trench可以通过GitHub访问,Facebook也在PyPi库上发布了一个Python包。

多数情况下,漏洞的存在都是由于系统中出现代码缺陷,而这种缺陷由人工检查或不易发觉或费时费力,所以就需要借助静态代码检测工具。静态代码检测可以帮助开发人员减少30%-70%的安全漏洞,大大提高软件安全性。随着网络安全防御已从传统外部防护延展到软件内部安全建设,在软件开发阶段实时检测、修复代码漏洞,提升软件本身的安全属性,降低网络安全风险,已经成为国际共识。

参读链接:

thehackernews.com/2021/09/fac…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/122217.html

相关文章

  • 《阿里聚安全2016年报》

    摘要:每天新增近个新移动病毒样本,每秒生成个阿里聚安全移动病毒样本库年新增病毒样本达个,平均每天新增个样本,这相当于每秒生成一个病毒样本。阿里聚安全的人机识别系统,接口调用是亿级别,而误识别的数量只有个位数。 《阿里聚安全2016年报》发布,本报告重点聚焦在2016年阿里聚安全所关注的移动安全及数据风控上呈现出来的安全风险,在移动安全方面重点分析了病毒、仿冒、漏洞三部分,帮助用户了解业务安全...

    2json 评论0 收藏0
  • 用户隐私泄露事件频发,我们的信息很难维护吗?

    摘要:今年以来,一直处在用户隐私信息泄露的漩涡中。今年月,谷歌同名社交网络被曝出存在重要安全漏洞,致使外部开发者可能在年到今年月份期间获得几十万用户的私人概况数据。受此影响,谷歌决定在年月关闭。 Facebook的水逆还在继续。据中新闻援引外媒的报道称,Facebook又出现了新的安全漏洞,导致第三方应用软件获取用户未公开的私人照片,初步估计,有多达680万用户受影响。showImg(htt...

    leanote 评论0 收藏0
  • Android安全开发之Provider组件安全

    摘要:人工排查肯定比较麻烦,建议开发者使用阿里聚安全提供的安全扫描服务,在上线前进行自动化的安全扫描,尽早发现并规避这样的风险。 作者:伊樵、呆狐@阿里聚安全 1 Content Provider组件简介 Content Provider组件是Android应用的重要组件之一,管理对数据的访问,主要用于不同的应用程序之间实现数据共享的功能。Content Provider的数据源不止包括SQ...

    xiaolinbang 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<