Facebook yntrodusearre in nije iepen statyske analysator, Mariana Trench, rjochte op it identifisearjen fan kwetsberens yn applikaasjes foar it Android-platfoarm en Java-programma's. It is mooglik om projekten te analysearjen sûnder boarne koades, wêrfoar allinich bytekoade foar de Dalvik firtuele masine beskikber is. In oar foardiel is har heul hege útfieringssnelheid (analyze fan ferskate miljoen rigels koade duorret sawat 10 sekonden), wêrtroch jo Mariana Trench kinne brûke om alle foarstelde wizigingen te kontrolearjen as se oankomme. De projektkoade is skreaun yn C ++ en wurdt ferspraat ûnder de MIT-lisinsje.
De analysator is ûntwikkele as ûnderdiel fan in projekt om it proses fan it kontrolearjen fan de boarneteksten fan mobile applikaasjes foar Facebook, Instagram en Whatsapp te automatisearjen. Yn 'e earste helte fan 2021 waard de helte fan alle kwetsberens yn Facebook mobile applikaasjes identifisearre mei automatisearre analyse-ark. De Mariana Trench-koade is nau ferweefd mei oare Facebook-projekten; Bygelyks, de Redex bytecode-optimizer waard brûkt om de bytekoade te parsearjen, en de SPARTA-bibleteek waard brûkt om de resultaten fan statyske analyse visueel te ynterpretearjen en te bestudearjen.
Potinsjele kwetsberens en privacyproblemen wurde identifisearre troch analysearjen fan gegevensstreamen tidens de útfiering fan applikaasjes om situaasjes te identifisearjen wêr't rau eksterne gegevens wurde ferwurke yn gefaarlike konstruksjes, lykas SQL-fragen, bestânoperaasjes en oproppen dy't eksterne programma's trigger.
It wurk fan 'e analysator komt del op it identifisearjen fan boarnen fan gegevens en gefaarlike oproppen wêryn de boarnegegevens net moatte wurde brûkt - de analysator folget de passaazje fan gegevens troch de keatling fan funksjeoproppen en ferbynt de boarnegegevens mei mooglik gefaarlike plakken yn 'e koade . Bygelyks, gegevens ûntfongen troch in oprop nei Intent.getData wurdt beskôge as nedich boarne tracking, en oproppen oan Log.w en Runtime.exec wurde beskôge as gefaarlik gebrûk.
Boarne: opennet.ru