Facebook introduċa analizzatur statiku ġdid ta 'sors miftuħ, Mariana Trench, immirat biex jidentifika l-vulnerabbiltajiet fl-applikazzjonijiet Android u l-programmi Java. Huwa possibbli li jiġu analizzati proġetti mingħajr kodiċi tas-sors, li għalihom huwa disponibbli biss bytecode għall-magna virtwali Dalvik. Vantaġġ ieħor huwa l-veloċità ta 'eżekuzzjoni għolja ħafna tagħha (l-analiżi ta' bosta miljuni ta 'linji ta' kodiċi tieħu madwar 10 sekondi), li tippermettilek tuża Mariana Trench biex tiċċekkja l-bidliet proposti kollha hekk kif jaslu. Il-kodiċi tal-proġett huwa miktub f'C++ u huwa mqassam taħt il-liċenzja MIT.
L-analizzatur ġie żviluppat bħala parti minn proġett biex jiġi awtomatizzat il-proċess ta 'reviżjoni tat-testi sors ta' applikazzjonijiet mobbli għal Facebook, Instagram u Whatsapp. Fl-ewwel nofs tal-2021, nofs il-vulnerabbiltajiet kollha fl-applikazzjonijiet mobbli ta’ Facebook ġew identifikati bl-użu ta’ għodod ta’ analiżi awtomatizzati. Il-kodiċi Mariana Trench huwa marbut mill-qrib ma 'proġetti oħra ta' Facebook; pereżempju, l-ottimizzatur tal-bytecode Redex intuża biex jiġi analizzat il-bytecode, u l-librerija SPARTA intużat biex tinterpreta u tistudja viżwalment ir-riżultati tal-analiżi statika.
Vulnerabbiltajiet potenzjali u kwistjonijiet ta 'privatezza huma identifikati billi jiġu analizzati l-flussi tad-dejta waqt l-eżekuzzjoni tal-applikazzjoni biex jiġu identifikati sitwazzjonijiet fejn id-dejta esterna mhux ipproċessata tiġi pproċessata f'kostruzzjonijiet perikolużi, bħal mistoqsijiet SQL, operazzjonijiet ta' fajls, u sejħiet li jikkawżaw programmi esterni.
Ix-xogħol ta 'l-analizzatur jasal għall-identifikazzjoni ta' sorsi ta 'dejta u sejħiet perikolużi li fihom id-dejta tas-sors m'għandhiex tintuża - l-analizzatur isegwi l-mogħdija tad-dejta permezz tal-katina ta' sejħiet ta 'funzjoni u jgħaqqad id-dejta tas-sors ma' postijiet potenzjalment perikolużi fil-kodiċi . Pereżempju, id-dejta riċevuta permezz ta 'sejħa lil Intent.getData hija kkunsidrata li teħtieġ traċċar tas-sors, u sejħiet lil Log.w u Runtime.exec huma kkunsidrati użi perikolużi.
Sors: opennet.ru