Offensive Services

Instagram Security Tool Pysa – Facebook legt Quellcode offen

Aktualisiert am

Um die eigene Software auf sicherheitsrelevante Fehler und Sicherheitslücken zu überprüfen, verwenden die Entwickler von Instagram das Security Tool Pysa (diesen Namen teilt es sich ungünstigerweise mit einer Ransomware). Den Quellcode für dieses Tool hat Facebook jetzt offengelegt und frei zugänglich gemacht.

Instagram Security: Statische Analyse mit Pysa

Jede Software hat während ihrer Lebensdauer früher oder später mal Fehler. Diese Fehler zu finden und zu beheben ist nicht immer einfach, vor allem dann, wenn man Millionen von Codezeilen zu beachten hat. Dabei hilft eine automatische, statische Codeanalyse. Das bedeutet, dass der Programmcode vor der Kompilierung und Ausführung automatisiert auf Probleme überprüft wird. Die meisten Programme zur statischen Überprüfung suchen nach einer Vielzahl von Fehlern und Bugs, das Instagram Security Tool Pysa allerdings ist spezialisiert auf Sicherheitsprobleme. Sicherheitsrelevante Fehler im Programmcode sind besonders kritisch, da genau dadurch Sicherheitslücken entstehen und ausgenutzt werden können. Zu diesem Zweck überprüft Pysa gezielt, welche Daten, wie durch das Programm verarbeitet werden und soll dann erkennen, welche Datenflüsse ein Sicherheitsrisiko bergen. Ein Beispiel, bei dem ein Datenfluss gefährlich werden kann, ist die “Remote Code Execution” oder RCE. Dieser Angriff wird möglich, wenn es dem Angreifer gelingt, Befehlsabfolgen in einen Programmablauf einzuschleusen. Wenn das so infiltrierte Programm mit erhöhten Privilegien läuft, kann das schwerwiegende Folgen haben!

Pysa kommt mit Pyre
Das Instagram Security Tool Pysa gibt es im Paket mit Pyre (Quelle: Screenshot https://github.com/facebook/pyre-check)

Kein ganz neuer Ansatz

Schon letztes Jahr hat Facebook das statische Analysetool Zoncolan vorgestellt, allerdings ist dieses nicht Open Source. Außerdem ist Zoncolan für die Analyse von Programmen ausgelegt, die in “Hack” geschrieben wurden, einer weitestgehend Facebook-internen Sprache. Instagram aber ist nicht in Hack geschrieben, sondern in Python, deshalb ist das Instagram Security Tool Pysa für die Analyse von Python Programmen gemacht, was deutlich relevanter für den Rest der Welt ist. Python ist eine sehr beliebte und viel genutzte Programmiersprache, deshalb dürfte die Offenlegung des Pysa-Quellcodes für viele Entwickler, vor allem von sicherheitsrelevanter Software, interessant sein. Python Tools zum Herunterladen von Instagram Posts haben wir in der Vergangenheit auch schon betrachtet.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.