Cruise, una sucietà specializata in tecnulugia di guida automatizata, codici fonte di u prughjettu , chì furnisce strumenti per analizà l'imaghjini di firmware basati in Linux è identificà e vulnerabili potenziali è e fughe di dati in elli. U codice hè scrittu in lingua Go è licenziatu sottu Apache 2.0.
Supporta l'analisi di l'imaghjini cù i sistemi di fugliale ext2/3/4, FAT/VFat, SquashFS è UBIFS. Per apre l'imaghjini, utilità standard sò utilizati, cum'è e2tools, mtools, squashfs-tools è ubi_reader. FwAnalyzer extracts the directory tree from the image and evaluates the content based on a set of rules. E regule ponu esse ligate à i metadati di u sistema di fugliale, u tipu di fugliale è u cuntenutu. L'output hè un rapportu in formatu JSON, riassuntu l'infurmazioni estratti da u firmware è affissendu avvirtimenti è una lista di schedari chì ùn anu micca cunfurmate cù e regule processate.
Supporta a verificazione di i diritti d'accessu à i fugliali è i cartulari (per esempiu, rileva l'accessu di scrittura per tutti è stabilisce UID / GID incorrecte), determina a presenza di fugliali eseguibili cù a bandiera suid è l'usu di tag SELinux, identifica e chjave di crittografia scurdate è potenzialmente. schedarii periculosi. U cuntenutu mette in risaltu password di ingegneria abbandunate è dati di debugging, mette in risaltu l'infurmazioni di versione, identifica / verifica hardware utilizendu hash SHA-256, è ricerche cù maschere statiche è espressioni regulari. Hè pussibule di ligà scripts di analizatori esterni à certi tipi di schedari. Per u firmware basatu in Android, i paràmetri di custruzzione sò definiti (per esempiu, utilizendu ro.secure=1 mode, ro.build.type state è attivazione SELinux).
FwAnalyzer pò esse usatu per simplificà l'analisi di prublemi di sicurezza in u firmware di terzu, ma u so scopu principale hè di monitorà a qualità di u firmware chì hè propiu o furnitu da i venditori di cuntratti di terzu. I reguli FwAnalyzer permettenu di generà una specificazione precisa di u statu di firmware è identificà deviazioni inaccettabili, cum'è l'assignazione di diritti d'accessu sbagliati o lascià chjavi privati è codice di debugging (per esempiu, a verificazione permette di evità situazioni cum'è utilizatu durante a prova di u servitore ssh, password ingegneria, per leghje /etc/config/shadow o creazione di una firma digitale).
Source: opennet.ru