Facebook har introdusert en ny åpen statisk analysator, Mariana Trench, rettet mot å identifisere sårbarheter i applikasjoner for Android-plattformen og Java-programmer. Det er mulig å analysere prosjekter uten kildekoder, der kun bytekode for den virtuelle Dalvik-maskinen er tilgjengelig. En annen fordel er den svært høye utførelseshastigheten (analyse av flere millioner linjer med kode tar omtrent 10 sekunder), som lar deg bruke Mariana Trench til å sjekke alle foreslåtte endringer når de kommer. Prosjektkoden er skrevet i C++ og distribueres under MIT-lisensen.
Analysatoren ble utviklet som en del av et prosjekt for å automatisere prosessen med å gjennomgå kildetekstene til mobilapplikasjoner for Facebook, Instagram og Whatsapp. I første halvdel av 2021 ble halvparten av alle sårbarheter i Facebook-mobilapplikasjoner identifisert ved hjelp av automatiserte analyseverktøy. Mariana Trench-koden er tett sammenvevd med andre Facebook-prosjekter; for eksempel ble Redex bytecode optimizer brukt til å analysere bytekoden, og SPARTA-biblioteket ble brukt til å visuelt tolke og studere resultatene av statisk analyse.
Potensielle sårbarheter og personvernproblemer identifiseres ved å analysere datastrømmer under kjøring av applikasjoner for å identifisere situasjoner der rå eksterne data behandles i farlige konstruksjoner, for eksempel SQL-spørringer, filoperasjoner og anrop som utløser eksterne programmer.
Analysatorens arbeid kommer ned til å identifisere kilder til data og farlige samtaler der kildedataene ikke skal brukes - analysatoren sporer passasjen av data gjennom kjeden av funksjonsanrop og kobler kildedataene med potensielt farlige steder i koden . For eksempel anses data mottatt gjennom et kall til Intent.getData å kreve kildesporing, og anrop til Log.w og Runtime.exec anses som farlig bruk.
Kilde: opennet.ru