Facebook presentou un novo analizador estático aberto, Mariana Trench, destinado a identificar vulnerabilidades en aplicacións para a plataforma Android e os programas Java. É posible analizar proxectos sen códigos fonte, para os que só está dispoñible o bytecode para a máquina virtual Dalvik. Outra vantaxe é a súa altísima velocidade de execución (a análise de varios millóns de liñas de código leva uns 10 segundos), que permite utilizar Mariana Trench para comprobar todos os cambios propostos a medida que chegan. O código do proxecto está escrito en C++ e distribúese baixo a licenza MIT.
O analizador desenvolveuse como parte dun proxecto para automatizar o proceso de revisión dos textos fonte das aplicacións móbiles para Facebook, Instagram e Whatsapp. No primeiro semestre de 2021, a metade de todas as vulnerabilidades das aplicacións móbiles de Facebook identificáronse mediante ferramentas de análise automatizadas. O código de Mariana Trench está intimamente entrelazado con outros proxectos de Facebook; por exemplo, o optimizador de bytecode de Redex utilizouse para analizar o bytecode e a biblioteca SPARTA utilizouse para interpretar e estudar visualmente os resultados da análise estática.
As posibles vulnerabilidades e problemas de privacidade identifícanse mediante a análise dos fluxos de datos durante a execución da aplicación para identificar situacións nas que se procesan datos externos en bruto en construcións perigosas, como consultas SQL, operacións de ficheiros e chamadas que desencadean programas externos.
O traballo do analizador redúcese a identificar fontes de datos e chamadas perigosas nas que non se deben usar os datos de orixe: o analizador rastrexa o paso dos datos a través da cadea de chamadas de función e conecta os datos de orixe con lugares potencialmente perigosos do código. . Por exemplo, considérase que os datos recibidos a través dunha chamada a Intent.getData requiren un seguimento da fonte e as chamadas a Log.w e Runtime.exec considéranse usos perigosos.
Fonte: opennet.ru