Facebook je predstavio novi otvoreni statički analizator, Mariana Trench, koji ima za cilj identificirati ranjivosti u aplikacijama za Android platformu i Java programima. Moguće je analizirati projekte bez izvornih kodova, za koje je dostupan samo bytecode za Dalvik virtualni stroj. Još jedna prednost je njegova vrlo velika brzina izvršenja (analiza nekoliko milijuna redaka koda traje oko 10 sekundi), što vam omogućuje korištenje Marijanske brazde za provjeru svih predloženih izmjena čim stignu. Kôd projekta napisan je u C++ i distribuira se pod licencom MIT-a.
Analizator je razvijen u sklopu projekta automatizacije procesa pregledavanja izvornih tekstova mobilnih aplikacija za Facebook, Instagram i Whatsapp. U prvoj polovici 2021. polovica svih ranjivosti u mobilnim aplikacijama Facebooka identificirana je pomoću automatiziranih alata za analizu. Kod Marijanske brazde usko je isprepleten s drugim Facebook projektima; primjerice, Redex bytecode optimizer korišten je za analizu bajtkoda, a biblioteka SPARTA korištena je za vizualnu interpretaciju i proučavanje rezultata statičke analize.
Potencijalne ranjivosti i problemi s privatnošću identificiraju se analizom protoka podataka tijekom izvođenja aplikacije kako bi se identificirale situacije u kojima se sirovi vanjski podaci obrađuju u opasnim konstrukcijama, kao što su SQL upiti, operacije datoteka i pozivi koji pokreću vanjske programe.
Rad analizatora svodi se na prepoznavanje izvora podataka i opasnih poziva u kojima se izvorni podaci ne smiju koristiti – analizator prati prolaz podataka kroz lanac poziva funkcija i povezuje izvorne podatke s potencijalno opasnim mjestima u kodu. . Na primjer, smatra se da podaci primljeni pozivom Intent.getData zahtijevaju praćenje izvora, a pozivi Log.w i Runtime.exec opasnim upotrebama.
Izvor: opennet.ru