Facebook ha presentat un nou analitzador estàtic obert Mariana Trench destinat a identificar vulnerabilitats en aplicacions per a la plataforma Android i programes Java. S'ofereix la possibilitat d'analitzar projectes sense codi font, per al qual només està disponible el bytecode per a la màquina virtual Dalvik. També té una velocitat d'execució molt alta (l'anàlisi de diversos milions de línies de codi triga uns 10 segons), que permet utilitzar Mariana Trench per comprovar tots els canvis proposats a mesura que arriben. El codi del projecte està escrit en C++ i distribuït sota la llicència MIT.
L'analitzador es va desenvolupar com a part d'un projecte per automatitzar el procés de revisió del codi font per a les aplicacions mòbils de Facebook, Instagram i Whatsapp. Durant el primer semestre del 2021, la meitat de totes les vulnerabilitats de les aplicacions mòbils de Facebook es van identificar mitjançant eines d'anàlisi automatitzades. El codi de Mariana Trench està estretament entrellaçat amb altres projectes de Facebook, per exemple, l'optimitzador de bytecode Redex es va utilitzar per analitzar el bytecode i la biblioteca SPARTA es va utilitzar per interpretar i estudiar visualment els resultats de l'anàlisi estàtica.
Les vulnerabilitats potencials i els problemes de privadesa s'identifiquen mitjançant l'anàlisi del flux de dades en temps d'execució per identificar situacions en què les dades externes no netejades es processen en construccions perilloses, com ara consultes SQL, operacions de fitxers i trucades que provoquen l'execució de programes externs.
El treball de l'analitzador es redueix a determinar les fonts de dades i les trucades perilloses en les quals no s'han d'utilitzar les dades font: l'analitzador rastreja el pas de les dades al llarg de la cadena de trucades de funció i associa les dades font amb llocs potencialment perillosos del codi. Per exemple, la font que cal rastrejar són les dades rebudes mitjançant la trucada a Intent.getData, i les trucades Log.w i Runtime.exec es consideren usos perillosos.
Font: opennet.ru