Facebook het 'n nuwe oop statiese ontleder, Mariana Trench, bekendgestel wat daarop gemik is om kwesbaarhede in toepassings vir die Android-platform en Java-programme te identifiseer. Dit is moontlik om projekte te ontleed sonder bronkodes, waarvoor slegs greepkode vir die Dalvik virtuele masjien beskikbaar is. Nog 'n voordeel is die baie hoë uitvoeringspoed daarvan (ontleding van 'n paar miljoen reëls kode neem ongeveer 10 sekondes), wat jou toelaat om Mariana Trench te gebruik om alle voorgestelde veranderinge na te gaan soos hulle aankom. Die projekkode is in C++ geskryf en word onder die MIT-lisensie versprei.
Die ontleder is ontwikkel as deel van 'n projek om die proses van hersiening van die brontekste van mobiele toepassings vir Facebook, Instagram en Whatsapp te outomatiseer. In die eerste helfte van 2021 is die helfte van alle kwesbaarhede in Facebook-mobiele toepassings geïdentifiseer met behulp van outomatiese ontledingsinstrumente. Die Mariana Trench-kode is nou verweef met ander Facebook-projekte; byvoorbeeld, die Redex-greepkode-optimaliseerder is gebruik om die greepkode te ontleed, en die SPARTA-biblioteek is gebruik om die resultate van statiese analise visueel te interpreteer en te bestudeer.
Potensiële kwesbaarhede en privaatheidskwessies word geïdentifiseer deur datavloei tydens toepassingsuitvoering te ontleed om situasies te identifiseer waar rou eksterne data in gevaarlike konstrukte verwerk word, soos SQL-navrae, lêerbewerkings en oproepe wat eksterne programme aktiveer.
Die werk van die ontleder kom daarop neer om bronne van data en gevaarlike oproepe te identifiseer waarin die brondata nie gebruik moet word nie - die ontleder volg die verloop van data deur die ketting van funksie-oproepe en verbind die brondata met potensieel gevaarlike plekke in die kode . Data wat byvoorbeeld deur 'n oproep na Intent.getData ontvang word, word beskou as bronnasporing, en oproepe na Log.w en Runtime.exec word as gevaarlike gebruike beskou.
Bron: opennet.ru