Cruise是一家专注于自动驾驶技术的公司, 项目源代码 ,它提供了用于分析基于 Linux 的固件映像并识别其中潜在漏洞和数据泄漏的工具。 代码是用Go语言编写的 在 Apache 2.0 下获得许可。
支持使用 ext2/3/4、FAT/VFat、SquashFS 和 UBIFS 文件系统分析图像。 要打开图像,需要使用标准实用程序,例如 e2tools、mtools、squashfs-tools 和 ubi_reader。 FwAnalyzer 从图像中提取目录树,并根据一组规则评估内容。 规则可以与文件系统元数据、文件类型和内容相关联。 输出是 JSON 格式的报告,总结从固件中提取的信息,并显示警告和不符合处理规则的文件列表。
它支持检查文件和目录的访问权限(例如,它检测每个人的写访问权限并设置不正确的 UID/GID),确定带有 suid 标志的可执行文件的存在以及 SELinux 标签的使用,识别遗忘的加密密钥并可能危险文件。 内容突出显示废弃的工程密码和调试数据,突出显示版本信息,使用 SHA-256 哈希识别/验证硬件,以及使用静态掩码和正则表达式进行搜索。 可以将外部分析器脚本链接到某些文件类型。 对于基于 Android 的固件,定义了构建参数(例如,使用 ro.secure=1 模式、ro.build.type 状态和 SELinux 激活)。
FwAnalyzer 可用于简化对第三方固件中安全问题的分析,但其主要目的是监控第三方合同供应商拥有或提供的固件的质量。 FwAnalyzer 规则允许您生成固件状态的准确规范并识别不可接受的偏差,例如分配错误的访问权限或留下私钥和调试代码(例如,检查可以让您避免诸如此类的情况) 在 ssh 服务器测试期间使用, 工程密码, 读取 /etc/config/shadow 或 数字签名的形成)。
来源: opennet.ru