Facebook hà introduttu un novu analizzatore staticu apertu, Mariana Trench, destinatu à identificà e vulnerabilità in l'applicazioni per a piattaforma Android è i prugrammi Java. Hè pussibule analizà prughjetti senza codici fonte, per quale solu bytecode per a macchina virtuale Dalvik hè dispunibule. Un altru vantaghju hè a so velocità d'esekzione assai alta (l'analisi di parechji milioni di linee di codice dura circa 10 seconde), chì vi permette di utilizà Mariana Trench per verificà tutti i cambiamenti pruposti cum'è ghjunghjenu. U codice di u prugettu hè scrittu in C++ è hè distribuitu sottu a licenza MIT.
L'analizzatore hè statu sviluppatu cum'è parte di un prughjettu per automatizà u prucessu di rivisione di i testi fonte di l'applicazioni mobili per Facebook, Instagram è Whatsapp. In a prima mità di u 2021, a mità di tutte e vulnerabilità in l'applicazioni mobili di Facebook sò state identificate utilizendu strumenti d'analisi automatizati. U codice Mariana Trench hè strettamente intrecciatu cù altri prughjetti di Facebook; per esempiu, l'ottimisatore di bytecode Redex hè stata utilizata per analizà u bytecode, è a biblioteca SPARTA hè stata aduprata per interpretà visualmente è studià i risultati di l'analisi statica.
E vulnerabilità potenziali è i prublemi di privacy sò identificati analizendu i flussi di dati durante l'esekzione di l'applicazione per identificà situazioni induve e dati esterni crudi sò processati in custruzzioni periculosi, cum'è e dumande SQL, operazioni di fugliale è chjamate chì attivanu prugrammi esterni.
U travagliu di l'analizzatore vene à identificà e fonti di dati è chjamate periculose in quale i dati fonte ùn deve esse micca utilizatu - l'analizzatore traccia u passaghju di dati à traversu a catena di chjama di funzione è cunnetta i dati fonte cù lochi potenzalmentu periculosi in u codice. . Per esempiu, i dati ricevuti attraversu una chjama à Intent.getData sò cunsiderate cum'è bisognu di seguimentu di a fonte, è chjama à Log.w è Runtime.exec sò cunsiderate usi periculosi.
Source: opennet.ru