Cruise, perusahaan khusus dina téknologi nyetir otomatis, kode sumber proyék , anu nyayogikeun alat pikeun nganalisis gambar firmware dumasar kana Linux sareng ngaidentipikasi poténsi kerentanan sareng bocor data di jerona. Kodeu ieu ditulis dina Go sareng dilisensikeun dina Apache 2.0.
Ngarojong analisa gambar nganggo ext2 / 3/4, FAT / VFat, SquashFS sareng sistem file UBIFS. Pikeun muka gambar, utilitas standar dianggo, sapertos e2tools, mtools, squashfs-tools sareng ubi_reader. FwAnalyzer extracts tangkal diréktori tina gambar jeung ngaevaluasi eusi dumasar kana susunan aturan. Aturan tiasa dihijikeun kana metadata sistem file, jinis file, sareng eusi. Kaluaran mangrupikeun laporan dina format JSON, nyimpulkeun inpormasi anu sasari tina firmware sareng ningalikeun peringatan sareng daptar file anu henteu saluyu sareng aturan anu diolah.
Mariksa hak aksés kana file sareng diréktori dirojong (contona, éta ngadeteksi aksés tulis pikeun sadayana sareng setélan UID/GID anu salah), ayana file anu tiasa dieksekusi kalayan bendera suid sareng panggunaan labél SE ditangtukeun.Linux, ngadeteksi konci énkripsi anu hilap sareng file anu berpotensi bahaya. Sandi rékayasa anu ditinggalkeun sareng data debug disorot, inpormasi vérsi diekstrak, payload diidentipikasi sareng diverifikasi nganggo hash SHA-256, sareng pamilarian dilakukeun nganggo topéng statis sareng éksprési biasa. Skrip analisis éksternal tiasa dihubungkeun kana jinis file khusus. Pikeun firmware dumasar kana Android parameter wangunan dihartikeun (contona, panggunaan modeu ro.secure=1, kaayaan ro.build.type sareng aktivasina SELinux).
FwAnalyzer tiasa dianggo pikeun nyederhanakeun analisa masalah kaamanan dina firmware pihak katilu, tapi tujuan utamina nyaéta pikeun ngawas kualitas firmware anu dipiboga atanapi disayogikeun ku padagang kontrak pihak katilu. Aturan FwAnalyzer ngamungkinkeun anjeun pikeun ngahasilkeun spésifikasi akurat ngeunaan kaayaan firmware sareng ngaidentipikasi panyimpangan anu teu katampi, sapertos napelkeun hak aksés anu salah atanapi nyéépkeun konci pribadi sareng kode debugging (contona, mariksa ngamungkinkeun anjeun pikeun nyingkahan kaayaan sapertos kitu. dipaké nalika nguji server ssh, sandi rékayasa, maca /etc/config/shadow atawa formasi tanda tangan digital).
sumber: opennet.ru
