Facebook отвори кода на статичния анализатор на Марианската падина

Facebook представи нов отворен статичен анализатор Mariana Trench, насочен към идентифициране на уязвимости в приложения за платформата Android и Java програми. Предоставена е възможност за анализ на проекти без изходен код, за който е наличен само байт код за виртуалната машина Dalvik. Освен това има много висока скорост на изпълнение (анализът на няколко милиона реда код отнема около 10 секунди), което позволява използването на Марианската падина за проверка на всички предложени промени, когато идват. Кодът на проекта е написан на C++ и се разпространява под лиценза на MIT.

Анализаторът е разработен като част от проект за автоматизиране на процеса на преглед на изходния код за мобилни приложения на Facebook, Instagram и Whatsapp. През първата половина на 2021 г. половината от всички уязвимости на мобилните приложения на Facebook бяха идентифицирани с помощта на автоматизирани инструменти за анализ. Кодът на Mariana Trench е тясно преплетен с други проекти на Facebook, например оптимизаторът на байт код Redex е използван за анализ на байт кода, а библиотеката SPARTA е използвана за визуална интерпретация и изследване на резултатите от статичен анализ.

Потенциалните уязвимости и проблеми с поверителността се идентифицират чрез анализ на потока от данни по време на изпълнение, за да се идентифицират ситуации, при които непочистени външни данни се обработват в опасни конструкции като SQL заявки, файлови операции и извиквания, които карат външни програми да се изпълняват.

Работата на анализатора се свежда до определяне на източниците на данни и опасни повиквания, при които изходните данни не трябва да се използват - анализаторът проследява преминаването на данните по веригата от извиквания на функции и свързва изходните данни с потенциално опасни места в код. Например източникът, който трябва да бъде проследен, са данните, получени чрез извикването на Intent.getData, а извикванията Log.w и Runtime.exec се считат за опасни употреби.

Източник: opennet.ru