Facebook ngenalake penganalisa statis mbukak anyar, Mariana Trench, kanthi tujuan kanggo ngenali kerentanan ing aplikasi kanggo platform Android lan program Java. Sampeyan bisa nganalisa proyek tanpa kode sumber, sing mung bytecode kanggo mesin virtual Dalvik sing kasedhiya. Kauntungan liyane yaiku kacepetan eksekusi sing dhuwur banget (analisis pirang-pirang yuta baris kode mbutuhake udakara 10 detik), sing ngidini sampeyan nggunakake Mariana Trench kanggo mriksa kabeh owah-owahan sing diusulake nalika teka. Kode proyek ditulis ing C ++ lan disebarake miturut lisensi MIT.
Analisa dikembangake minangka bagean saka proyek kanggo ngotomatisasi proses mriksa teks sumber aplikasi seluler kanggo Facebook, Instagram lan Whatsapp. Ing separo pisanan 2021, setengah saka kabeh kerentanan ing aplikasi seluler Facebook diidentifikasi nggunakake alat analisis otomatis. Kode Mariana Trench raket banget karo proyek Facebook liyane; contone, Redex bytecode optimizer digunakake kanggo parsing bytecode, lan perpustakaan SPARTA digunakake kanggo visual napsirake lan sinau asil analisis statis.
Potensi kerentanan lan masalah privasi diidentifikasi kanthi nganalisa aliran data sajrone eksekusi aplikasi kanggo ngenali kahanan ing ngendi data eksternal mentah diproses ing konstruksi mbebayani, kayata pitakon SQL, operasi file, lan telpon sing memicu program eksternal.
Pakaryan penganalisa teka kanggo ngenali sumber data lan telpon mbebayani sing ora bisa digunakake data sumber - penganalisa nglacak data liwat rantai panggilan fungsi lan nyambungake data sumber karo panggonan sing bisa mbebayani ing kode kasebut. . Contone, data sing ditampa liwat telpon menyang Intent.getData dianggep mbutuhake pelacakan sumber, lan telpon menyang Log.w lan Runtime.exec dianggep mbebayani.
Source: opennet.ru