Trovare vulnerabilità di sicurezza nelle app Android con il tool di Facebook

Interessante iniziativa quella di Facebook che oggi ha rilasciato come prodotto opensource un software che gli ingegneri dell’azienda fondata da Mark Zuckerberg utilizzano con regolarità per scovare vulnerabilità nelle app Android sviluppate internamente.

Battezzato Mariana Trench questo strumento può analizzare codice composto da decine di milioni di linee di codice per individuare eventuali vulnerabilità prima che esse arrivino nelle versioni rilsciate agli utenti finali.
Facebook ha rivelato che i suoi esperti hanno trovato più del 50% di tutti i bug di sicurezza nelle app della società utilizzando strumenti automatizzati simili a Mariana Trench.

Per impostazione predefinita Mariana Trench analizza il bytecode Dalvik e può lavorare con o senza accesso al codice sorgente.
La soluzione proposta dal social network in blu prende in esame tutti i flussi di dati da una fonte (informazioni sensibili degli utenti come password o posizione geografica) ai cosiddetti sink (funzioni o metodi che utilizzano i dati provenienti dalle fonti).

Un flusso di dati tra fonti e sink che indica la possibilità di salvare le password in un file viene definito come un potenziale problema: l’attenzione degli sviluppatori viene così richiamata in modo che attraverso specifici interventi manuali ci si possa concentrare sui temi legati alla sicurezza e alla privacy.

I portavoce di Facebook hanno spiegato che mentre il codice lato server può essere aggiornato quasi istantaneamente nel caso di un’applicazione web, mitigare un bug di sicurezza in un’applicazione Android è cosa molto più complessa e delicata perché le implicazioni per ogni singolo utente possono essere innumerevoli e le configurazioni con le quali si ha potenzialmente a che fare non si contano.
È quindi importante per qualsiasi sviluppatore di app mettere in campo metodologie e strumenti per prevenire le vulnerabilità.

Mariana Trench è disponibile sia su GitHub che nel sito web dedicato al progetto. È offerto anche sotto forma di distribuzione in formato binario e Facebook mette a disposizione degli interessati un breve tutorial per iniziare a lavorare.

L’azienda aveva precedentemente rilasciato altri due strumenti di analisi statica del codice progettati per rilevare e prevenire problemi di sicurezza, sia su codice Python (Pysa) che su codice Hack (Zoncolan).