ፌስቡክ ለአንድሮይድ ፕላትፎርም እና ለጃቫ ፕሮግራሞች አፕሊኬሽኖች ተጋላጭነትን ለመለየት ያለመ ማሪያና ትሬንች የተባለ አዲስ የማይንቀሳቀስ ተንታኝ አስተዋወቀ። ያለ ምንጭ ኮዶች ፕሮጀክቶችን መተንተን ይቻላል, ለዚህም ለዳልቪክ ቨርቹዋል ማሽን ባይት ኮድ ብቻ ይገኛል. ሌላው ጥቅም በጣም ከፍተኛ የማስፈጸሚያ ፍጥነት ነው (የበርካታ ሚሊዮን የኮድ መስመሮች ትንተና 10 ሰከንድ ያህል ይወስዳል) ይህም ማሪያና ትሬንች እንደደረሱ ሁሉንም የታቀዱ ለውጦችን ለመፈተሽ ያስችልዎታል. የፕሮጀክት ኮድ በC++ የተፃፈ ሲሆን በ MIT ፍቃድ ተሰራጭቷል።
ተንታኙ ለፌስቡክ፣ ኢንስታግራም እና ዋትስአፕ የሞባይል አፕሊኬሽኖች ምንጭ ፅሁፎችን የመገምገም ሂደትን በራስ ሰር ለማሰራት የፕሮጀክት አካል ሆኖ ተዘጋጅቷል። በ2021 የመጀመሪያ አጋማሽ፣ በፌስቡክ የሞባይል አፕሊኬሽኖች ውስጥ ካሉት ተጋላጭነቶች ውስጥ ግማሹ አውቶሜትድ የትንታኔ መሳሪያዎችን በመጠቀም ተለይቷል። የማሪያና ትሬንች ኮድ ከሌሎች የፌስቡክ ፕሮጄክቶች ጋር በቅርበት የተሳሰረ ነው፡ ለምሳሌ የሬዴክስ ባይትኮድ አመቻች (Redex bytecode Optimizer) ባይትኮዱን ለመተንተን ጥቅም ላይ የዋለ ሲሆን የSPARTA ቤተ-መጽሐፍት ደግሞ የስታቲክ ትንታኔ ውጤቶችን በእይታ ለመተርጎም እና ለማጥናት ይጠቅማል።
ሊሆኑ የሚችሉ ተጋላጭነቶች እና የግላዊነት ጉዳዮች በመተግበሪያ አፈፃፀም ወቅት የውሂብ ፍሰቶችን በመተንተን እንደ SQL መጠይቆች ፣ የፋይል ኦፕሬሽኖች እና የውጭ ፕሮግራሞችን የሚቀሰቅሱ ጥሪዎች ያሉ ጥሬ ውጫዊ መረጃዎች በአደገኛ ግንባታዎች ውስጥ የሚከናወኑበትን ሁኔታዎችን በመለየት ተለይተው ይታወቃሉ።
ተንታኝ ስራው የመረጃ ምንጮችን እና የመረጃ ምንጮችን መጠቀም የማይገባባቸው አደገኛ ጥሪዎችን ለመለየት ይወርዳል - ተንታኙ በተግባራዊ ጥሪዎች ሰንሰለት ውስጥ የመረጃውን ምንባብ ይከታተላል እና የመረጃውን ምንጭ በኮዱ ውስጥ ካሉ አደገኛ ቦታዎች ጋር ያገናኛል ። . ለምሳሌ፣ ወደ Intent.getData በሚደረገው ጥሪ የተቀበለው መረጃ ምንጭን መከታተል እንደሚያስፈልገው ይቆጠራል፣ እና ወደ Log.w እና Runtime.exec የሚደረጉ ጥሪዎች እንደ አደገኛ ጥቅም ይቆጠራሉ።
ምንጭ: opennet.ru