Facebook libera ferramenta de segurança para desenvolvedores de Java e Android
Por Dácio Castelo Branco | Editado por Claudio Yuge | 30 de Setembro de 2021 às 19h30
O Facebook disponibilizou nesta quarta-feira (29) ferramenta aberta para todos os desenvolvedores (open source) que permite analisar códigos e identificar falhas de segurança e privacidade nas aplicações para Android e Java. O software é baseado em uma solução usada pelos seus próprios engenheiros especializados em defesa digital.
- Vírus de Android rouba usuários após infectar mais de 10 milhões de dispositivos
- Solução de acesso digital promete diminuir os riscos de ataques ransomware
- Apps que expõem dados de usuários já têm mais de 142 milhões de downloads
A ferramenta disponibilizada pelo Facebook, chamada de Mariana Trench (MT), é usada para analisar bases com dezenas de milhões de linhas de código para encontrar vulnerabilidades antes que eles sejam introduzidas em alguma versão dos programas. Segundo a rede social, soluções semelhantes encontraram automaticamente 50% de todas as falhas de segurança de aplicativos da empresa.
O Facebook já lançou, anteriormente duas ferramentas de análise de códigos com a função de prevenir problemas de segurança: a Pysa, para aplicações desenvolvidas a partir de Python; e a Zoncolan, feita para linhas programadas com a linguagem Hack.
Como funciona
A ferramenta Mariana Trench funciona analisando o fluxo de informações de entrada de dados (ou sources), a exemplo de conteúdo sensível de usuários (como localização e senhas); e de saída de dados (sinks), que são funções e métodos que usam elementos originados de sources.
Se a solução encontra nesse processo algo que não deveria ter acesso, ela registra essas cadeias de elementos como um “problema”. Na maioria dos casos, essas falhas identificadas pela Mariana Trench podem ocasionar vulnerabilidades severas de privacidade e segurança nos programas.
Dominik Gabi, Engenheiro de Software do Facebook, explica: “um fluxo de informações vindo de uma source e indo para uma sink indica, por exemplo, que a senha de um usuário pode estar sendo registrada em um arquivo, o que pode causar problemas de privacidade; e é identificado como um problema pelo Mariana Trench”.
O Facebook também afirma que a Mariana Trench pode ser usada por desenvolvedores para focar em problemas de segurança e privacidade descobertos fora da ferramenta. Segundo a gigante das redes sociais, a solução permite o ajuste do ambiente de testes e a adição de novas regras para que a análise ocorra em partes mais complexas do código.
A documentação, assim como o código open source da Mariana Trench, podem ser encontrados aqui.
Fonte: BleepingComputer