Facebook hefur kynnt nýjan opinn kyrrstöðugreiningartæki, Mariana Trench, sem miðar að því að bera kennsl á veikleika í Android forritum og Java forritum. Hægt er að greina verkefni án frumkóða, þar sem aðeins bækikóði fyrir Dalvíkur sýndarvél er tiltækur. Annar kostur er mjög mikill framkvæmdarhraði (greining á nokkrum milljón línum af kóða tekur um 10 sekúndur), sem gerir þér kleift að nota Mariana Trench til að athuga allar fyrirhugaðar breytingar þegar þær berast. Verkefniskóðinn er skrifaður í C++ og er dreift undir MIT leyfinu.
Greiningartækið var þróað sem hluti af verkefni til að gera sjálfvirkan ferlið við að fara yfir frumtexta farsímaforrita fyrir Facebook, Instagram og Whatsapp. Á fyrri hluta ársins 2021 var helmingur allra veikleika í Facebook farsímaforritum greindur með því að nota sjálfvirk greiningartæki. Mariana Trench kóðinn er nátengdur öðrum Facebook verkefnum; til dæmis var Redex bætakóða fínstillingin notuð til að þátta bækakóðann og SPARTA bókasafnið var notað til að sjónrænt túlka og rannsaka niðurstöður kyrrstöðugreiningar.
Hugsanlegir veikleikar og persónuverndarvandamál eru auðkennd með því að greina gagnaflæði meðan á framkvæmd forrita stendur til að bera kennsl á aðstæður þar sem óunnin utanaðkomandi gögn eru unnin í hættulegum smíðum, svo sem SQL fyrirspurnum, skráaraðgerðum og köllum sem kalla á utanaðkomandi forrit.
Vinna greiningartækisins snýst um að bera kennsl á gagnauppsprettur og hættuleg símtöl þar sem ekki ætti að nota upprunagögnin - greiningartækið rekur flutning gagna í gegnum keðju aðgerðarkalla og tengir upprunagögnin við hugsanlega hættulega staði í kóðanum . Til dæmis eru gögn sem berast með símtali til Intent.getData talin krefjast upprunarakningar og símtöl í Log.w og Runtime.exec eru talin hættuleg notkun.
Heimild: opennet.ru