Cruise, isang kumpanyang dalubhasa sa mga automated na teknolohiya sa pagmamaneho, mga source code ng proyekto , na nagbibigay ng mga tool para sa pagsusuri ng mga imahe ng firmware na nakabase sa Linux at pagtukoy ng mga potensyal na kahinaan at pagtagas ng data sa mga ito. Ang code ay nakasulat sa wikang Go at lisensyado sa ilalim ng Apache 2.0.
Sinusuportahan ang pagsusuri ng mga imahe gamit ang ext2/3/4, FAT/VFat, SquashFS at UBIFS file system. Upang buksan ang larawan, ginagamit ang mga karaniwang kagamitan, tulad ng e2tools, mtools, squashfs-tools at ubi_reader. Kinukuha ng FwAnalyzer ang puno ng direktoryo mula sa larawan at sinusuri ang nilalaman batay sa isang hanay ng mga panuntunan. Maaaring iugnay ang mga panuntunan sa metadata ng file system, uri ng file, at nilalaman. Ang output ay isang ulat sa JSON format, na nagbubuod sa impormasyong nakuha mula sa firmware at nagpapakita ng mga babala at isang listahan ng mga file na hindi sumusunod sa mga naprosesong panuntunan.
Sinusuportahan nito ang pagsuri sa mga karapatan sa pag-access sa mga file at direktoryo (halimbawa, nakakakita ito ng access sa pagsulat para sa lahat at nagtatakda ng maling UID/GID), tinutukoy ang pagkakaroon ng mga executable na file na may flag ng suid at ang paggamit ng mga tag ng SELinux, kinikilala ang mga nakalimutang encryption key at posibleng mapanganib na mga file. Itina-highlight ng content ang mga inabandunang password sa engineering at data ng pag-debug, hina-highlight ang impormasyon ng bersyon, kinikilala/bini-verify ang hardware gamit ang SHA-256 na mga hash, at mga paghahanap gamit ang mga static na mask at regular na expression. Posibleng i-link ang mga script ng external analyzer sa ilang uri ng file. Para sa Android-based na firmware, tinukoy ang mga parameter ng build (halimbawa, gamit ang ro.secure=1 mode, ro.build.type state at SELinux activation).
Maaaring gamitin ang FwAnalyzer upang pasimplehin ang pagsusuri ng mga isyu sa seguridad sa third-party na firmware, ngunit ang pangunahing layunin nito ay subaybayan ang kalidad ng firmware na pagmamay-ari o ibinibigay ng mga third-party na contract vendor. Binibigyang-daan ka ng mga panuntunan ng FwAnalyzer na bumuo ng tumpak na detalye ng estado ng firmware at tukuyin ang mga hindi katanggap-tanggap na mga paglihis, tulad ng pagtatalaga ng mga maling karapatan sa pag-access o pag-iwan ng mga pribadong key at debugging code (halimbawa, ang pagsuri ay nagbibigay-daan sa iyo upang maiwasan ang mga sitwasyon tulad ng ginamit sa pagsubok ng ssh server, password ng engineering, para basahin ang /etc/config/shadow or pagbuo ng isang digital na lagda).
Pinagmulan: opennet.ru