Facebook memperkenalkan penganalisis statik terbuka baharu, Mariana Trench, bertujuan untuk mengenal pasti kelemahan dalam aplikasi untuk platform Android dan program Java. Ia adalah mungkin untuk menganalisis projek tanpa kod sumber, yang hanya kod bait untuk mesin maya Dalvik tersedia. Kelebihan lain ialah kelajuan pelaksanaannya yang sangat tinggi (analisis beberapa juta baris kod mengambil masa kira-kira 10 saat), yang membolehkan anda menggunakan Mariana Trench untuk menyemak semua cadangan perubahan apabila ia tiba. Kod projek ditulis dalam C++ dan diedarkan di bawah lesen MIT.
Penganalisis dibangunkan sebagai sebahagian daripada projek untuk mengautomasikan proses menyemak teks sumber aplikasi mudah alih untuk Facebook, Instagram dan Whatsapp. Pada separuh pertama 2021, separuh daripada semua kelemahan dalam aplikasi mudah alih Facebook telah dikenal pasti menggunakan alat analisis automatik. Kod Mariana Trench berkait rapat dengan projek Facebook lain; contohnya, pengoptimum kod bait Redex digunakan untuk menghuraikan kod bait, dan perpustakaan SPARTA digunakan untuk mentafsir dan mengkaji hasil analisis statik secara visual.
Potensi kelemahan dan isu privasi dikenal pasti dengan menganalisis aliran data semasa pelaksanaan aplikasi untuk mengenal pasti situasi di mana data luaran mentah diproses dalam binaan berbahaya, seperti pertanyaan SQL, operasi fail dan panggilan yang mencetuskan program luaran.
Kerja penganalisis adalah untuk mengenal pasti sumber data dan panggilan berbahaya yang mana data sumber tidak boleh digunakan - penganalisis menjejaki laluan data melalui rangkaian panggilan fungsi dan menghubungkan data sumber dengan tempat yang berpotensi berbahaya dalam kod . Contohnya, data yang diterima melalui panggilan ke Intent.getData dianggap memerlukan penjejakan sumber dan panggilan ke Log.w dan Runtime.exec dianggap sebagai penggunaan berbahaya.
Sumber: opennet.ru