Cruise, empresa especializada em tecnologias de direção automatizada, códigos fonte do projeto , que fornece ferramentas para analisar imagens de firmware baseadas em Linux e identificar possíveis vulnerabilidades e vazamentos de dados nelas. O código está escrito em Go e licenciado sob Apache 2.0.
Suporta análise de imagens usando sistemas de arquivos ext2/3/4, FAT/VFat, SquashFS e UBIFS. Para abrir a imagem, são utilizados utilitários padrão, como e2tools, mtools, squashfs-tools e ubi_reader. FwAnalyzer extrai a árvore de diretórios da imagem e avalia o conteúdo com base em um conjunto de regras. As regras podem ser vinculadas aos metadados do sistema de arquivos, tipo de arquivo e conteúdo. A saída é um relatório em formato JSON, resumindo as informações extraídas do firmware e exibindo avisos e uma lista de arquivos que não atendem às regras processadas.
Ele suporta a verificação de direitos de acesso a arquivos e diretórios (por exemplo, detecta acesso de gravação para todos e define UID/GID incorreto), determina a presença de arquivos executáveis com o sinalizador suid e o uso de tags SELinux, identifica chaves de criptografia esquecidas e potencialmente arquivos perigosos. O conteúdo destaca senhas de engenharia abandonadas e dados de depuração, destaca informações de versão, identifica/verifica hardware usando hashes SHA-256 e pesquisa usando máscaras estáticas e expressões regulares. É possível vincular scripts de analisadores externos a determinados tipos de arquivos. Para firmware baseado em Android, os parâmetros de construção são definidos (por exemplo, usando o modo ro.secure=1, estado ro.build.type e ativação do SELinux).
O FwAnalyzer pode ser usado para simplificar a análise de problemas de segurança em firmware de terceiros, mas seu objetivo principal é monitorar a qualidade do firmware que pertence ou é fornecido por fornecedores terceirizados. As regras do FwAnalyzer permitem gerar uma especificação precisa do estado do firmware e identificar desvios inaceitáveis, como atribuir direitos de acesso errados ou deixar chaves privadas e código de depuração (por exemplo, a verificação permite evitar situações como usado durante o teste do servidor ssh, senha de engenharia, para ler /etc/config/shadow ou formação de uma assinatura digital).
Fonte: opennet.ru