Facebook prezante yon nouvo analizè estatik louvri, Mariana Trench, ki vize pou idantifye frajilite nan aplikasyon pou platfòm Android ak pwogram Java yo. Li posib pou analize pwojè san kòd sous, pou ki se sèlman bytecode pou machin vityèl Dalvik ki disponib. Yon lòt avantaj se vitès ekzekisyon trè wo li (analiz plizyè milyon liy kòd pran apeprè 10 segonn), ki pèmèt ou sèvi ak Mariana Trench pou tcheke tout chanjman yo pwopoze pandan y ap rive. Kòd pwojè a ekri an C++ epi li distribye anba lisans MIT.
Analizè a te devlope nan kad yon pwojè pou otomatize pwosesis revize tèks sous aplikasyon mobil pou Facebook, Instagram ak Whatsapp. Nan premye mwatye 2021, mwatye nan tout frajilite nan aplikasyon mobil Facebook yo te idantifye lè l sèvi avèk zouti analiz otomatik. Kòd Mariana Trench la byen mare ak lòt pwojè Facebook; pa egzanp, yo te itilize optimiseur bytecode Redex pou analize bytecode la, epi bibliyotèk SPARTA te itilize pou entèprete ak etidye rezilta analiz estatik yo.
Yo idantifye vilnerabilite potansyèl ak pwoblèm konfidansyalite lè yo analize koule done pandan egzekisyon aplikasyon an pou idantifye sitiyasyon kote done ekstèn anvan tout koreksyon yo trete nan konstriksyon danjere, tankou demann SQL, operasyon dosye, ak apèl ki deklanche pwogram ekstèn.
Travay analizè a se pou idantifye sous done ak apèl danjere kote done sous yo pa ta dwe itilize - analizè a swiv pasaj done atravè chèn apèl fonksyon an epi konekte done sous yo ak kote ki kapab danjere nan kòd la. . Pou egzanp, done yo resevwa nan yon apèl nan Intent.getData yo konsidere kòm yo mande pou swiv sous, ak apèl nan Log.w ak Runtime.exec yo konsidere kòm itilizasyon danjere.
Sous: opennet.ru