Gipaila sa Facebook ang usa ka bag-ong open static analyzer, Mariana Trench, nga nagtumong sa pag-ila sa mga kahuyangan sa mga aplikasyon alang sa Android platform ug Java nga mga programa. Posible ang pag-analisar sa mga proyekto nga walay source code, diin ang bytecode lamang para sa Dalvik virtual machine ang anaa. Ang laing bentaha mao ang taas kaayo nga katulin sa pagpatuman niini (ang pagtuki sa pipila ka milyon nga mga linya sa code nagkinahanglan og mga 10 segundos), nga nagtugot kanimo sa paggamit sa Mariana Trench aron masusi ang tanan nga gisugyot nga mga pagbag-o sa ilang pag-abot. Ang code sa proyekto gisulat sa C++ ug giapod-apod ubos sa lisensya sa MIT.
Ang analisador gimugna isip kabahin sa usa ka proyekto aron ma-automate ang proseso sa pagrepaso sa mga source texts sa mga mobile applications para sa Facebook, Instagram ug Whatsapp. Sa una nga katunga sa 2021, ang katunga sa tanan nga mga kahuyangan sa mga aplikasyon sa mobile sa Facebook nahibal-an gamit ang mga gamit sa awtomatikong pagtuki. Ang Mariana Trench code suod nga nalambigit sa uban nga mga proyekto sa Facebook; pananglitan, ang Redex bytecode optimizer gigamit sa pag-parse sa bytecode, ug ang SPARTA library gigamit sa biswal nga paghubad ug pagtuon sa mga resulta sa static analysis.
Ang mga potensyal nga kahuyangan ug mga isyu sa pagkapribado mailhan pinaagi sa pag-analisar sa mga agos sa datos sa panahon sa pagpatuman sa aplikasyon aron mahibal-an ang mga sitwasyon diin ang hilaw nga eksternal nga datos giproseso sa makuyaw nga mga pagtukod, sama sa mga pangutana sa SQL, mga operasyon sa file, ug mga tawag nga nagpalihok sa mga eksternal nga programa.
Ang buhat sa analisador moabut sa pag-ila sa mga gigikanan sa datos ug peligro nga mga tawag diin ang gigikanan nga datos dili kinahanglan gamiton - ang analisador nagsubay sa pagpasa sa datos pinaagi sa kadena sa mga tawag sa function ug nagkonektar sa gigikanan nga datos sa mga potensyal nga peligro nga mga lugar sa code. . Pananglitan, ang datos nga nadawat pinaagi sa usa ka tawag sa Intent.getData gikonsiderar nga nanginahanglan og source tracking, ug ang mga tawag sa Log.w ug Runtime.exec gikonsiderar nga peligrosong gamit.
Source: opennet.ru