Facebook Android платформасы мен Java бағдарламаларына арналған қосымшалардағы осалдықтарды анықтауға бағытталған Mariana Trench жаңа ашық статикалық анализаторын ұсынды. Бастапқы кодсыз жобаларды талдау мүмкіндігі қамтамасыз етілген, ол үшін Dalvik виртуалды машинасының байт-коды ғана қол жетімді. Ол сондай-ақ өте жоғары орындалу жылдамдығына ие (бірнеше миллион жолдық кодты талдау шамамен 10 секундты алады), бұл Mariana Trench көмегімен барлық ұсынылған өзгерістерді тексеруге мүмкіндік береді. Жоба коды C++ тілінде жазылған және MIT лицензиясы бойынша таратылады.
Анализатор Facebook, Instagram және Whatsapp мобильді қосымшаларының бастапқы кодын қарау процесін автоматтандыру жобасының бір бөлігі ретінде жасалған. 2021 жылдың бірінші жартысында автоматтандырылған талдау құралдарының көмегімен Facebook мобильді қосымшасының осал тұстарының жартысы анықталды. Mariana Trench коды басқа Facebook жобаларымен тығыз байланысты, мысалы, Redex байт кодының оңтайландырушысы байт кодты талдау үшін, ал SPARTA кітапханасы статикалық талдау нәтижелерін визуалды интерпретациялау және зерттеу үшін пайдаланылды.
Ықтимал осалдықтар мен құпиялылық мәселелері сыртқы бағдарламалардың іске қосылуын тудыратын SQL сұраулары, файл операциялары және қоңыраулар сияқты қауіпті құрылымдарда тазартылмаған сыртқы деректер өңделетін жағдайларды анықтау үшін орындалу уақытындағы деректер ағынын талдау арқылы анықталады.
Анализатордың жұмысы бастапқы деректер пайдаланылмайтын деректер мен қауіпті шақырулардың көздерін анықтауға дейін қысқарады - анализатор функционалдық шақырулар тізбегі бойынша деректердің өтуін қадағалайды және бастапқы деректерді ықтимал қауіпті орындармен байланыстырады. код. Мысалы, бақылауды қажет ететін көз Intent.getData қоңырауы арқылы алынған деректер болып табылады және Log.w және Runtime.exec қоңыраулары қауіпті пайдаланулар болып саналады.
Ақпарат көзі: opennet.ru