近日，WitAwards 2022年度頒獎(jiǎng)典禮在上海舉辦，字節(jié)跳動(dòng)無恒實(shí)驗(yàn)室自主研發(fā)的安全檢測工具appshark獲得2022年度最佳安全開源項(xiàng)目。

appshark 是用于漏洞及隱私合規(guī)風(fēng)險(xiǎn)的自動(dòng)化檢測工具，無恒實(shí)驗(yàn)室今年9月將其開源（項(xiàng)目地址：http://github.com/bytedance/appshark），成為一個(gè)公共的工具。無恒實(shí)驗(yàn)室是由字節(jié)跳動(dòng)資深安全研究人員組成的專業(yè)攻防研究實(shí)驗(yàn)室。該實(shí)驗(yàn)室表示，開源appshark是希望吸引更多業(yè)界專家參與打磨，為企業(yè)及白帽子做 App 風(fēng)險(xiǎn)檢測提供便利。

本次WitAwards 2022頒獎(jiǎng)典禮與CIS2022網(wǎng)絡(luò)安全創(chuàng)新大會(huì)主論壇同期舉辦，同時(shí)無恒實(shí)驗(yàn)室的安全研究員白振軒也受邀在CIS2022主論壇發(fā)表了題為《Hack Demo：appshark在安全合規(guī)中的應(yīng)用》的演講。

白振軒在演講中詳細(xì)地介紹了appshark的原理，appshark 除了可以實(shí)現(xiàn)行業(yè)普遍應(yīng)用的數(shù)據(jù)流分析，還將指針分析與數(shù)據(jù)流分析融合，因而漏洞建模上更精準(zhǔn)，規(guī)則更靈活，在誤報(bào)率和漏報(bào)率方面有了比較大的改進(jìn)。

振軒通過真實(shí)案例來講解如何使用appshark，并針對指針指向關(guān)系表和數(shù)據(jù)流向關(guān)系表進(jìn)行了規(guī)則撰寫的分享。隨后向與會(huì)觀眾展示了利用appshark引擎挖掘AOSP中Intent Redirection漏洞的實(shí)際案例，這兩個(gè)高危漏洞也被谷歌授予CVE。關(guān)于這兩個(gè)漏洞的發(fā)現(xiàn)細(xì)節(jié)，感興趣的朋友歡迎觀看本篇文章：AOSP Bug Hunting with appshark (1): Intent Redirection（https://mp.weixin.qq.com/s/CY2nLUb2VQaBNxAKd7GeUQ）

在演講最后，振軒指出appshark 不僅可以作為公司內(nèi)部的 Android App 的自動(dòng)化檢測工具，輔助企業(yè)發(fā)現(xiàn) App 的安全漏洞以及隱私合規(guī)風(fēng)險(xiǎn)，也可以作為白帽子日常 App 漏洞挖掘的助手，提高漏洞挖掘的效率及產(chǎn)出。同時(shí)appshark的輸出結(jié)果也非常適合程序處理，更加靈活的規(guī)則撰寫、可擴(kuò)展性，希望大家一起來建設(shè)使用appshark（開源項(xiàng)目地址：http://github.com/bytedance/appshark）。

互聯(lián)網(wǎng)技術(shù)的高速迭代更新，開源社區(qū)也提供了很大的支撐作用。在網(wǎng)絡(luò)安全行業(yè)中，安全開源項(xiàng)目更是為安全產(chǎn)業(yè)發(fā)展提供了良好的協(xié)作環(huán)境，讓安全同行避免重復(fù)造輪子，降低研發(fā)成本，助力安全技術(shù)創(chuàng)新發(fā)展，走的更快更遠(yuǎn)。同時(shí)，越來越多的參與者參與到安全開源項(xiàng)目的試用與測試中，也讓開源項(xiàng)目也變得更加完善。兩者相輔相成，為網(wǎng)絡(luò)安全產(chǎn)業(yè)帶來極大的福祉。

據(jù)悉，無恒實(shí)驗(yàn)室極為重視開源軟件與系統(tǒng)對業(yè)務(wù)安全的影響，在檢測內(nèi)部引入的開源框架和系統(tǒng)的同時(shí)，也著力于構(gòu)建第三方框架和組件的漏洞緩解機(jī)制，并持續(xù)與業(yè)界共享研究成果、共同合作，協(xié)助企業(yè)業(yè)務(wù)避免遭受安全風(fēng)險(xiǎn)，為網(wǎng)絡(luò)安全行業(yè)的發(fā)展做出貢獻(xiàn)。