“Facebook” şirkəti “Android” platforması və Java proqramları üçün tətbiqlərdə zəiflikləri aşkar etməyə yönəlmiş yeni açıq statik analizator “Mariana Trench”i təqdim edib. Mənbə kodu olmadan layihələri təhlil etmək imkanı təmin edilir, bunun üçün yalnız Dalvik virtual maşını üçün bayt kodu mövcuddur. O, həmçinin çox yüksək icra sürətinə malikdir (bir neçə milyon sətir kodun təhlili təxminən 10 saniyə çəkir), bu, Mariana Xəndəyindən istifadə edərək təklif olunan bütün dəyişiklikləri gələn kimi yoxlamağa imkan verir. Layihə kodu C++ dilində yazılmışdır və MIT lisenziyası altında paylanmışdır.
Analizator “Facebook”, “Instagram” və “Whatsapp” mobil tətbiqləri üçün mənbə kodunun nəzərdən keçirilməsi prosesinin avtomatlaşdırılması layihəsi çərçivəsində hazırlanıb. 2021-ci ilin birinci yarısında “Facebook”un mobil tətbiqetmələrindəki boşluqların yarısı avtomatlaşdırılmış analiz alətlərindən istifadə edilməklə müəyyən edilib. Mariana Trençin kodu digər Facebook layihələri ilə sıx bağlıdır, məsələn, bayt kodunu təhlil etmək üçün Redex bayt kodu optimallaşdırıcısından, statik analizin nəticələrini vizual şərh etmək və öyrənmək üçün SPARTA kitabxanasından istifadə edilmişdir.
Potensial zəifliklər və məxfilik problemləri təmizlənməmiş xarici məlumatların SQL sorğuları, fayl əməliyyatları və xarici proqramların işə salınmasına səbəb olan zənglər kimi təhlükəli konstruksiyalarda işləndiyi vəziyyətləri müəyyən etmək üçün iş vaxtı məlumat axını təhlili vasitəsilə müəyyən edilir.
Analizatorun işi məlumat mənbələrinin və mənbə məlumatlarının istifadə edilməməsi lazım olan təhlükəli çağırışların müəyyən edilməsinə qədər azaldılır - analizator funksional çağırışlar zənciri boyunca məlumatların keçidini izləyir və mənbə məlumatlarını potensial təhlükəli yerlərlə əlaqələndirir. kod. Məsələn, izlənilməli olan mənbə Intent.getData-a edilən zəng vasitəsilə alınan məlumatlardır və Log.w və Runtime.exec zəngləri təhlükəli istifadələr hesab olunur.
Mənbə: opennet.ru