Facebook huet en neien oppene statesche Analyser agefouert, Mariana Trench, zielt fir Schwachstelle bei Uwendungen fir d'Android Plattform an Java Programmer z'identifizéieren. Et ass méiglech Projeten ouni Quellcode ze analyséieren, fir déi nëmmen Bytecode fir d'Dalvik virtuell Maschinn verfügbar ass. En anere Virdeel ass seng ganz héich Ausféierungsgeschwindegkeet (Analyse vun e puer Millioune Zeilen Code dauert ongeféier 10 Sekonnen), wat Iech erlaabt d'Mariana Trench ze benotzen fir all proposéiert Ännerungen ze kontrolléieren wéi se ukommen. De Projet Code ass an C ++ geschriwwen a gëtt ënner der MIT Lizenz verdeelt.
Den Analyser gouf als Deel vun engem Projet entwéckelt fir de Prozess vun der Iwwerpréiwung vun de Quelltexter vu mobilen Applikatiounen fir Facebook, Instagram a Whatsapp ze automatiséieren. An der éischter Halschent vum Joer 2021 goufen d'Halschent vun alle Schwachstelle bei Facebook mobilen Uwendungen identifizéiert mat Hëllef vun automatiséierten Analyse Tools. De Mariana Trench Code ass enk mat anere Facebook Projeten verwéckelt; zum Beispill gouf de Redex Bytecode Optimizer benotzt fir de Bytecode ze analyséieren, an d'SPARTA Bibliothéik gouf benotzt fir d'Resultater vun der statescher Analyse visuell ze interpretéieren an ze studéieren.
Potenziell Schwachstelle a Privatsphärprobleemer ginn identifizéiert andeems d'Datestroum während der Ausféierung vun der Applikatioun analyséiert gëtt fir Situatiounen z'identifizéieren wou rau extern Daten a geféierleche Konstruktioune veraarbecht ginn, wéi SQL Ufroen, Dateioperatiounen an Uruff déi extern Programmer ausléisen.
D'Aarbecht vum Analysator geet erof op d'Identifikatioun vun Datenquellen a geféierlechen Uriff, an deenen d'Quelldaten net benotzt solle ginn - den Analysator verfollegt de Passage vun Daten duerch d'Kette vu Funktiounsruffen a verbënnt d'Quelldaten mat potenziell geféierleche Plazen am Code . Zum Beispill, Daten, déi duerch en Uruff un Intent.getData kritt ginn, ginn als Quellverfolgung ugesinn, an Uriff op Log.w a Runtime.exec ginn als geféierlech Notzung ugesinn.
Source: opennet.ru