Facebook dia nampiditra mpandinika static misokatra vaovao, Mariana Trench, mikendry ny hamantatra ny vulnerability amin'ny fampiharana ho an'ny sehatra Android sy ny programa Java. Azo atao ny mamakafaka ireo tetikasa tsy misy kaody loharano, izay tsy misy afa-tsy bytecode ho an'ny milina virtoaly Dalvik. Ny tombony iray hafa dia ny hafainganam-pandehan'ny famonoana azy (ny famakafakana andalana maromaro an-tsoratra dia maharitra 10 segondra eo ho eo), izay ahafahanao mampiasa Mariana Trench hanamarina ny fanovana rehetra natolotra rehefa tonga izy ireo. Ny fehezan-dalàna momba ny tetikasa dia voasoratra amin'ny C ++ ary zaraina amin'ny alàlan'ny fahazoan-dàlana MIT.
Ny mpandinika dia novolavolaina ho ampahany amin'ny tetikasa iray hanamarihana ny fizotran'ny famerenana ireo lahatsoratra loharanon'ny fampiharana finday ho an'ny Facebook, Instagram ary Whatsapp. Tamin'ny tapany voalohany tamin'ny 2021, ny antsasaky ny vulnerability rehetra amin'ny rindranasa finday Facebook dia fantatra tamin'ny fampiasana fitaovana famakafakana mandeha ho azy. Ny kaody Mariana Trench dia mifamatotra akaiky amin'ny tetikasa Facebook hafa; ohatra, ny Redex bytecode optimizer dia nampiasaina hamakiana ny bytecode, ary ny tranomboky SPARTA dia nampiasaina handikana sy handalinana ny valin'ny fanadihadiana static.
Ny vulnerabilities sy ny olana momba ny fiainana manokana dia fantatra amin'ny alàlan'ny famakafakana ny fikorianan'ny angon-drakitra mandritra ny fampiharana ny fampiharana mba hamantarana ireo toe-javatra misy ny angon-drakitra ivelany manta voahodina amin'ny fananganana mampidi-doza, toy ny fanontaniana SQL, fampandehanana rakitra, ary antso izay miteraka fandaharana ivelany.
Ny asan'ny mpandinika dia midina amin'ny famantarana ny loharanon'ny angona sy ny antso mampidi-doza izay tsy tokony hampiasana ny loharanon-kevitra - ny mpandinika dia manara-maso ny fandehan'ny angon-drakitra amin'ny alàlan'ny antso an-tariby ary mampifandray ny angona loharano amin'ny toerana mety hampidi-doza ao amin'ny code. . Ohatra, ny angona voaray amin'ny antso mankany Intent.getData dia heverina fa mila fanaraha-maso loharano, ary ny antso amin'ny Log.w sy Runtime.exec dia heverina ho fampiasana mampidi-doza.
Source: opennet.ru