Facebook-ek analizatzaile estatiko ireki berri bat aurkeztu zuen, Mariana Trench, Android plataformarako eta Java programetarako aplikazioetako ahultasunak identifikatzeko helburuarekin. Iturburu-koderik gabeko proiektuak azter daitezke, eta horretarako Dalvik makina birtualerako bytecode bakarrik dago eskuragarri. Beste abantaila bat exekuzio-abiadura oso altua da (hainbat milioi kode-lerroren azterketak 10 segundo inguru behar ditu), eta horri esker Mariana Trench erabil dezakezu proposatutako aldaketa guztiak iristen diren heinean egiaztatzeko. Proiektuaren kodea C++-n idatzita dago eta MIT lizentziapean banatzen da.
Analizatzailea Facebook, Instagram eta Whatsapp aplikazio mugikorren iturri-testuak berrikusteko prozesua automatizatzeko proiektu baten barruan garatu da. 2021eko lehen seihilekoan, Facebook aplikazio mugikorretako ahultasun guztien erdiak analisi automatikoko tresnak erabiliz identifikatu ziren. Mariana Trench kodea oso lotuta dago Facebookeko beste proiektu batzuekin; adibidez, Redex bytecode optimizatzailea erabili zen bytecodea analizatzeko, eta SPARTA liburutegia analisi estatikoen emaitzak ikusmen interpretatzeko eta aztertzeko.
Balizko ahuleziak eta pribatutasun-arazoak aplikazioaren exekuzioan datu-fluxuak aztertuz identifikatzen dira, kanpoko datu gordinak eraikuntza arriskutsuetan prozesatzen diren egoerak identifikatzeko, hala nola SQL kontsultak, fitxategi-eragiketak eta kanpoko programak abiarazten dituzten deiak.
Analizatzailearen lana iturburu-datuak erabili behar ez diren datu-iturriak eta dei arriskutsuak identifikatzea da: analizatzaileak datuen joan-etorriaren jarraipena egiten du funtzio-deien katearen bidez eta iturri-datuak kodean arriskutsuak izan daitezkeen tokiekin lotzen ditu. . Esate baterako, Intent.getData-ra dei baten bidez jasotako datuek iturburuaren jarraipena behar dutela jotzen da, eta Log.w eta Runtime.exec-era egindako deiak erabilera arriskutsutzat hartzen dira.
Iturria: opennet.ru