Facebook tutvustas uut avatud staatilist analüsaatorit Mariana Trench, mille eesmärk on tuvastada Androidi platvormi ja Java programmide rakenduste haavatavused. Projekte on võimalik analüüsida ilma lähtekoodideta, mille jaoks on saadaval ainult Dalviki virtuaalmasina baitkood. Teine eelis on selle väga suur täitmiskiirus (mitme miljoni koodirea analüüs võtab umbes 10 sekundit), mis võimaldab Mariana Trenchi abil kontrollida kõiki kavandatud muudatusi nende saabumisel. Projekti kood on kirjutatud C++ keeles ja seda levitatakse MIT litsentsi all.
Analüsaator töötati välja projekti raames, mille eesmärk on automatiseerida Facebooki, Instagrami ja Whatsapi mobiilirakenduste lähtetekstide ülevaatamise protsessi. 2021. aasta esimesel poolel tuvastati pool kõigist Facebooki mobiilirakenduste haavatavustest automatiseeritud analüüsitööriistade abil. Mariana Trenchi kood on tihedalt läbi põimunud teiste Facebooki projektidega, näiteks baitkoodi sõelumiseks kasutati Redexi baitkoodi optimeerijat ning staatilise analüüsi tulemuste visuaalseks tõlgendamiseks ja uurimiseks SPARTA teeki.
Võimalikud haavatavused ja privaatsusprobleemid tehakse kindlaks, analüüsides andmevooge rakenduse täitmise ajal, et tuvastada olukordi, kus väliseid töötlemata andmeid töödeldakse ohtlikes konstruktsioonides, nagu SQL-päringud, failitoimingud ja väliseid programme käivitavad kõned.
Analüsaatori töö taandub andmeallikate ja ohtlike kõnede tuvastamisele, mille puhul lähteandmeid ei tohiks kasutada - analüsaator jälgib andmete läbimist funktsioonikõnede ahelas ja ühendab lähteandmed potentsiaalselt ohtlike kohtadega koodis. . Näiteks Intent.getData kõne kaudu saadud andmed eeldavad allika jälgimist ning kõnesid aadressile Log.w ja Runtime.exec peetakse ohtlikuks kasutuseks.
Allikas: opennet.ru