Apps: Facebooks Mariana Trench findet Android-Sicherheitslücken

Für seine Android-Apps sucht Facebook automatisiert nach Sicherheitslücken. Das Werkzeug dazu ist nun Open Source.

Artikel veröffentlicht am ,
Für seine Apps setzt Facebook auf eine statische Analyse bei der Entwicklung.
Für seine Apps setzt Facebook auf eine statische Analyse bei der Entwicklung. (Bild: Reuters Marketplace/Kyodo Pictures)

Das Engineering-Team von Facebook hat Mariana Trench als Open Source veröffentlicht, wie die Beteiligten in ihrem Blog schreiben. Laut der Beschreibung handelt es sich dabei um "ein Werkzeug, das wir verwenden, um Sicherheits- und Datenschutzfehler in Android- und Java-Anwendungen zu erkennen und zu verhindern". Gemeint seien damit vor allem die mobilen Apps für Facebook, Instagram und Whatsapp, die Millionen Zeilen Code umfassen und ständigen Überarbeitungen unterliegen.

Stellenmarkt
  1. Manager (gn) Quality Assurance IT
    MorphoSys AG, Planegg
  2. Principal Expert (m/w/d) Digital Work Security
    Atruvia AG, Karlsruhe
Detailsuche

Dazu heißt es: "Um diese Menge an Code zu bewältigen, bauen wir ausgeklügelte Systeme, die unseren Sicherheitsingenieuren helfen, Code auf potenzielle Probleme zu erkennen und zu überprüfen, anstatt sich nur auf manuelle Code-Reviews verlassen zu müssen". In der ersten Hälfte dieses Jahres seien allein 50 Prozent der von dem Team gefundenen Sicherheitslücken auf dieses automatische System zurückzuführen, schreibt Facebook.

Mariana Trench sei explizit darauf ausgelegt, die große Codebasis zu scannen und mögliche Probleme schon vor dem Einpflegen in den Hauptzweig des Codes zu erkennen. Die konkrete Suche nach möglichen Sicherheitslücken setzt das Team in Mariana Trench über die Kontrolle des Datenflusses um. Immerhin ließen sich viele Probleme so modellieren, dass Daten dorthin gelangen, wo sie nicht hinsollen.

Für die Nutzung von Mariana Trench können dann schlicht Quelle und Ziel beschrieben sowie Regeln erstellt werden, um sicherheitsrelevante Datenflüsse zu finden. Bei seinem eigenen Einsatz des Werkzeugs setzt Facebook anders als oft üblich auch nicht auf die Minimierung von falsch positiven Ergebnissen. Das Team ist zunächst vielmehr interessiert an möglichst vielen positiven Meldungen. So sollen auch eher ungewöhnliche Datenflüsse bemerkt werden, die im produktiven Einsatz zwar nur selten auftreten könnten, aber dennoch ausnutzbar seien.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    26. November 2021, Virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
Weitere IT-Trainings

Weitere Details und vor allem auch eine Anleitung zum Einstieg in die Nutzung von Mariana Trench samt Dokumentation hat das Team von Facebook auf einer eigenen Webseite für das Werkzeug zusammengefasst. Der Open-Source-Code steht unter MIT-Lizenz zum Download auf Github bereit und das Projekt gibt es auch als Python-Paket in PyPI.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
VW-Transporter umgerüstet
Stromern in Deutschland statt stinken im Ausland

Die Firma Naext Automotive baut alte VW-Transporter zu Elektroautos um. Die Macher verstehen ihr Konzept als Gegenentwurf zur Neuwagenindustrie.
Ein Bericht von Haiko Prengel

VW-Transporter umgerüstet: Stromern in Deutschland statt stinken im Ausland
Artikel
  1. Macbook Pro: Apples Notch-Fix macht aktiven Display-Bereich kleiner
    Macbook Pro
    Apples Notch-Fix macht aktiven Display-Bereich kleiner

    Ein Support-Dokument von Apple beschreibt, wie sich die Notch im neuen Macbook Pro nicht mehr über Anwendungen legt. Elegant ist das nicht.

  2. Fördersumme ausgeschöpft: KfW beendet Wallbox-Förderung - erst einmal
    Fördersumme ausgeschöpft
    KfW beendet Wallbox-Förderung - erst einmal

    Der Förderbank KfW liegen bereits mehr Anträge vor, als der Fördertopf für private Ladestellen hergab. Eine weitere Aufstockung der Mittel ist ungewiss.
    Von Franz W. Rother

  3. Titan M2: Googles Security-Chip nutzt RISC-V
    Titan M2
    Googles Security-Chip nutzt RISC-V

    Im neuen Pixel 6 nutzt Google einige eigene Security-Designs auch in der Hardware. Einer der Chips nutzt das freie RISC-V.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • WD Black SN750 1TB 89,90€ • PS5 Digital Edition + 2. Dualsense + 100€-Amazon-Gutschein mit o2-Vertrag sofort lieferbar • Kingston 1TB PCIe-SSD 69,90€ • GTA Trilogy Definitive 59,99€ • Alternate (u. a. Apacer 960GB SATA-SSD 82,90€) • Samsung 4K-Monitore & TVs günstiger [Werbung]
    •  /