Facebook introducerede en ny åben statisk analysator, Mariana Trench, der har til formål at identificere sårbarheder i applikationer til Android-platformen og Java-programmer. Det er muligt at analysere projekter uden kildekoder, hvor kun bytekode til den virtuelle Dalvik-maskine er tilgængelig. En anden fordel er dens meget høje eksekveringshastighed (analyse af flere millioner linjer kode tager omkring 10 sekunder), hvilket giver dig mulighed for at bruge Mariana Trench til at kontrollere alle foreslåede ændringer, når de ankommer. Projektkoden er skrevet i C++ og distribueres under MIT-licensen.
Analysatoren blev udviklet som en del af et projekt for at automatisere processen med at gennemgå kildeteksterne til mobilapplikationer til Facebook, Instagram og Whatsapp. I første halvdel af 2021 blev halvdelen af alle sårbarheder i Facebooks mobilapplikationer identificeret ved hjælp af automatiserede analyseværktøjer. Mariana Trench-koden er tæt sammenflettet med andre Facebook-projekter; for eksempel blev Redex bytecode optimizer brugt til at parse bytekoden, og SPARTA-biblioteket blev brugt til visuelt at fortolke og studere resultaterne af statisk analyse.
Potentielle sårbarheder og privatlivsproblemer identificeres ved at analysere datastrømme under applikationsudførelse for at identificere situationer, hvor rå eksterne data behandles i farlige konstruktioner, såsom SQL-forespørgsler, filhandlinger og kald, der udløser eksterne programmer.
Analysatorens arbejde handler om at identificere kilder til data og farlige opkald, hvor kildedataene ikke skal bruges - analysatoren sporer passagen af data gennem kæden af funktionskald og forbinder kildedataene med potentielt farlige steder i koden . For eksempel anses data modtaget via et opkald til Intent.getData for at kræve kildesporing, og opkald til Log.w og Runtime.exec betragtes som farlige anvendelser.
Kilde: opennet.ru