Facebook je predstavio novi otvoreni statički analizator Mariana Trench koji ima za cilj identifikaciju ranjivosti u aplikacijama za Android platformu i Java programe. Osigurana je mogućnost analize projekata bez izvornog koda, za koji je dostupan samo bajt kod za Dalvik virtualnu mašinu. Takođe ima veoma veliku brzinu izvršavanja (analiza nekoliko miliona linija koda traje oko 10 sekundi), što omogućava korišćenje Marijanske brazde za proveru svih predloženih promena kako dođu. Kod projekta je napisan u C++ i distribuiran pod MIT licencom.
Analizator je razvijen u sklopu projekta automatizacije procesa pregleda izvornog koda za Facebook, Instagram i Whatsapp mobilne aplikacije. U prvoj polovini 2021. polovina svih ranjivosti Facebook mobilnih aplikacija identifikovana je pomoću automatizovanih alata za analizu. Kod Mariane Trench je usko isprepleten s drugim Facebook projektima, na primjer, Redex bytecode optimizator je korišten za raščlanjivanje bajtkoda, a biblioteka SPARTA korištena je za vizualno tumačenje i proučavanje rezultata statičke analize.
Potencijalne ranjivosti i problemi s privatnošću se identifikuju kroz analizu protoka podataka tokom izvođenja kako bi se identificirale situacije u kojima se neočišćeni vanjski podaci obrađuju u opasnim konstrukcijama kao što su SQL upiti, operacije s datotekama i pozivi koji uzrokuju pokretanje vanjskih programa.
Rad analizatora svodi se na određivanje izvora podataka i opasnih poziva u kojima se izvorni podaci ne smiju koristiti - analizator prati prolazak podataka duž lanca poziva funkcija i povezuje izvorne podatke s potencijalno opasnim mjestima u kod. Na primjer, izvor koji treba pratiti su podaci primljeni putem poziva Intent.getData, a pozivi Log.w i Runtime.exec se smatraju opasnom upotrebom.
izvor: opennet.ru