Cruise是一家專注於自動駕駛技術的公司, 專案原始碼 ,它提供了用於分析基於 Linux 的韌體映像並識別其中潛在漏洞和資料外洩的工具。 程式碼是用 Go 寫的 在 Apache 2.0 下獲得許可。
支援使用 ext2/3/4、FAT/VFat、SquashFS 和 UBIFS 檔案系統分析影像。 要開啟映像,需要使用標準實用程序,例如 e2tools、mtools、squashfs-tools 和 ubi_reader。 FwAnalyzer 從影像中提取目錄樹,並根據一組規則評估內容。 規則可以與檔案系統元資料、文件類型和內容相關聯。 輸出是 JSON 格式的報告,總結從韌體中提取的信息,並顯示警告和不符合處理規則的文件列表。
它支援檢查檔案和目錄的存取權限(例如,它檢測每個人的寫入存取權限並設定不正確的UID/GID),確定帶有suid 標誌的可執行檔案是否存在以及SELinux 標籤的使用,識別遺忘的加密密鑰並可能危險文件。 內容突出顯示廢棄的工程密碼和調試數據,突出顯示版本信息,使用 SHA-256 哈希識別/驗證硬件,以及使用靜態掩碼和正則表達式進行搜索。 可以將外部分析器腳本連結到某些文件類型。 對於基於 Android 的韌體,定義了建置參數(例如,使用 ro.secure=1 模式、ro.build.type 狀態和 SELinux 啟動)。
FwAnalyzer 可用於簡化對第三方韌體中安全問題的分析,但其主要目的是監控第三方合約供應商擁有或提供的韌體的品質。 FwAnalyzer 規則可讓您產生韌體狀態的準確規格並識別不可接受的偏差,例如分配錯誤的存取權或留下私鑰和偵錯程式碼(例如,檢查允許您避免諸如此類的情況) 用於ssh伺服器的測試階段, 工程密碼, 讀取 /etc/config/shadow 或 數位簽章的形成)。
來源: opennet.ru