Facebook introduceerde een nieuwe open statische analyser, Mariana Trench, gericht op het identificeren van kwetsbaarheden in applicaties voor het Android-platform en Java-programma's. Het is mogelijk om projecten zonder broncodes te analyseren, waarvoor alleen bytecode voor de virtuele Dalvik-machine beschikbaar is. Een ander voordeel is de zeer hoge uitvoeringssnelheid (analyse van enkele miljoenen regels code duurt ongeveer 10 seconden), waardoor u Mariana Trench kunt gebruiken om alle voorgestelde wijzigingen te controleren zodra ze binnenkomen. De projectcode is geschreven in C++ en wordt gedistribueerd onder de MIT-licentie.
De analyser is ontwikkeld als onderdeel van een project om het proces van het beoordelen van de bronteksten van mobiele applicaties voor Facebook, Instagram en Whatsapp te automatiseren. In de eerste helft van 2021 werd de helft van alle kwetsbaarheden in mobiele Facebook-applicaties geïdentificeerd met behulp van geautomatiseerde analysetools. De Mariana Trench-code is nauw verweven met andere Facebook-projecten; de bytecode-optimalisatiefunctie van Redex werd bijvoorbeeld gebruikt om de bytecode te parseren, en de SPARTA-bibliotheek werd gebruikt om de resultaten van statische analyse visueel te interpreteren en te bestuderen.
Potentiële kwetsbaarheden en privacyproblemen worden geïdentificeerd door gegevensstromen tijdens de uitvoering van applicaties te analyseren om situaties te identificeren waarin onbewerkte externe gegevens worden verwerkt in gevaarlijke constructies, zoals SQL-query's, bestandsbewerkingen en oproepen die externe programma's activeren.
Het werk van de analysator komt neer op het identificeren van gegevensbronnen en gevaarlijke oproepen waarbij de brongegevens niet mogen worden gebruikt - de analysator volgt de passage van gegevens door de keten van functieaanroepen en verbindt de brongegevens met potentieel gevaarlijke plaatsen in de code . Gegevens die worden ontvangen via een aanroep naar Intent.getData worden bijvoorbeeld geacht brontracking te vereisen, en aanroepen naar Log.w en Runtime.exec worden als gevaarlijk gebruik beschouwd.
Bron: opennet.ru