首页 · 快讯 · 正文

字节跳动无恒实验室appshark获WitAwards 2022最佳安全开源项目

近日,WitAwards 2022年度颁奖典礼在上海举办,字节跳动无恒实验室自主研发的安全检测工具appshark获得2022年度最佳安全开源项目。

appshark 是用于漏洞及隐私合规风险的自动化检测工具,无恒实验室今年9月将其开源(项目地址:http://github.com/bytedance/appshark),成为一个公共的工具。无恒实验室是由字节跳动资深安全研究人员组成的专业攻防研究实验室。该实验室表示,开源appshark是希望吸引更多业界专家参与打磨,为企业及白帽子做 App 风险检测提供便利。

图片1.png

本次WitAwards 2022颁奖典礼与CIS2022网络安全创新大会主论坛同期举办,同时无恒实验室的安全研究员白振轩也受邀在CIS2022主论坛发表了题为《Hack Demo:appshark在安全合规中的应用》的演讲。

图片2.png

白振轩在演讲中详细地介绍了appshark的原理,appshark 除了可以实现行业普遍应用的数据流分析,还将指针分析与数据流分析融合,因而漏洞建模上更精准,规则更灵活,在误报率和漏报率方面有了比较大的改进。

图片3.png

振轩通过真实案例来讲解如何使用appshark,并针对指针指向关系表和数据流向关系表进行了规则撰写的分享。随后向与会观众展示了利用appshark引擎挖掘AOSP中Intent Redirection漏洞的实际案例,这两个高危漏洞也被谷歌授予CVE。关于这两个漏洞的发现细节,感兴趣的朋友欢迎观看本篇文章:AOSP Bug Hunting with appshark (1): Intent Redirection(https://mp.weixin.qq.com/s/CY2nLUb2VQaBNxAKd7GeUQ)

图片4.png

在演讲最后,振轩指出appshark 不仅可以作为公司内部的 Android App 的自动化检测工具,辅助企业发现 App 的安全漏洞以及隐私合规风险,也可以作为白帽子日常 App 漏洞挖掘的助手,提高漏洞挖掘的效率及产出。同时appshark的输出结果也非常适合程序处理,更加灵活的规则撰写、可扩展性,希望大家一起来建设使用appshark(开源项目地址:http://github.com/bytedance/appshark)。

互联网技术的高速迭代更新,开源社区也提供了很大的支撑作用。在网络安全行业中,安全开源项目更是为安全产业发展提供了良好的协作环境,让安全同行避免重复造轮子,降低研发成本,助力安全技术创新发展,走的更快更远。同时,越来越多的参与者参与到安全开源项目的试用与测试中,也让开源项目也变得更加完善。两者相辅相成,为网络安全产业带来极大的福祉。

据悉,无恒实验室极为重视开源软件与系统对业务安全的影响,在检测内部引入的开源框架和系统的同时,也着力于构建第三方框架和组件的漏洞缓解机制,并持续与业界共享研究成果、共同合作,协助企业业务避免遭受安全风险,为网络安全行业的发展做出贡献。(作者:朱进)