脸书昨(29)日宣布,将自家检查Android及Java App漏洞的工具Mariana Trench(MT)以开源项目公开。
为确保旗下移动应用程序,包括FB、IG、WhatsApp的安全性及功能顺畅,脸书内部开发出自动化分析工具协助侦测和检查程序漏洞。今年上半,脸书的自动化工具已经识别出50多个漏洞。
脸书工程师Dominik Gabi指出,Mariana Trench项目是脸书发布的第3个程序代码静态与动态分析工具。在此之前,脸书已发布Zoncolan及Pysa二项分析工具。三者的运行方式相似,不同的是Zoncolan及Pysa分别分析Hack及Python程序代码,而Mariana Trench则用来分析Android和Java App。
安全分析师是借由分析程序代码从Source到Sink之间资料流的种种路径来找出漏洞。脸书指出,大的Codebase中往往包含多种不同类别的Source及Sink,Mariana Trench正是为了扫描包括数千万行程序代码的大型移动App codebase的瑕疵或漏洞而设计,可大幅加速程序代码检查的速度。
脸书的技术文件网页写道,Mariana Trench借由分析Dalvik bytecode来找出Android和Java程序安全漏洞。它使用名为抽象释义(abstract interpretation)的静态分析手法创建一组模型,推测Java method各种资料路径。安全分析工程师可以通过定义规则,让它产出可能的资料路径,借此分析发现App之中的安全及隐私问题。
除了快速外,脸书并指出,Mariana Trench另一优点是可定制化。安全分析人员经由长期规则设置及告知数据源,逐渐训练它来符组成织的需求。
目前这项工具资源已经经由GitHub开放。