Facebook telah memperkenalkan penganalisis statis sumber terbuka baru, Mariana Trench, yang bertujuan untuk mengidentifikasi kerentanan dalam aplikasi Android dan program Java. Dimungkinkan untuk menganalisis proyek tanpa kode sumber, yang hanya tersedia bytecode untuk mesin virtual Dalvik. Keuntungan lainnya adalah kecepatan eksekusinya yang sangat tinggi (analisis beberapa juta baris kode memerlukan waktu sekitar 10 detik), yang memungkinkan Anda menggunakan Mariana Trench untuk memeriksa semua perubahan yang diajukan saat perubahan tersebut tiba. Kode proyek ditulis dalam C++ dan didistribusikan di bawah lisensi MIT.
Penganalisis ini dikembangkan sebagai bagian dari proyek untuk mengotomatiskan proses peninjauan teks sumber aplikasi seluler untuk Facebook, Instagram, dan Whatsapp. Pada paruh pertama tahun 2021, setengah dari seluruh kerentanan dalam aplikasi seluler Facebook diidentifikasi menggunakan alat analisis otomatis. Kode Palung Mariana terkait erat dengan proyek Facebook lainnya; misalnya, pengoptimal bytecode Redex digunakan untuk mengurai bytecode, dan perpustakaan SPARTA digunakan untuk menafsirkan dan mempelajari hasil analisis statis secara visual.
Potensi kerentanan dan masalah privasi diidentifikasi dengan menganalisis aliran data selama eksekusi aplikasi untuk mengidentifikasi situasi di mana data eksternal mentah diproses dalam konstruksi berbahaya, seperti kueri SQL, operasi file, dan panggilan yang memicu program eksternal.
Pekerjaan penganalisis dikurangi untuk mengidentifikasi sumber data dan panggilan berbahaya di mana data sumber tidak boleh digunakan - penganalisis melacak perjalanan data melalui rantai panggilan fungsi dan menghubungkan data sumber dengan tempat-tempat yang berpotensi berbahaya dalam kode . Misalnya, data yang diterima melalui panggilan ke Intent.getData dianggap memerlukan pelacakan sumber, dan panggilan ke Log.w dan Runtime.exec dianggap penggunaan berbahaya.
Sumber: opennet.ru