O Facebook introduziu um novo analisador estático aberto, o Mariana Trench, voltado para identificar vulnerabilidades em aplicativos para a plataforma Android e programas Java. É possível analisar projetos sem códigos-fonte, para os quais apenas está disponível o bytecode da máquina virtual Dalvik. Outra vantagem é sua altíssima velocidade de execução (a análise de vários milhões de linhas de código leva cerca de 10 segundos), o que permite usar o Mariana Trench para verificar todas as alterações propostas à medida que chegam. O código do projeto é escrito em C++ e distribuído sob a licença do MIT.
O analisador foi desenvolvido como parte de um projeto para automatizar o processo de revisão dos textos fontes de aplicativos mobile para Facebook, Instagram e Whatsapp. No primeiro semestre de 2021, metade de todas as vulnerabilidades nas aplicações móveis do Facebook foram identificadas através de ferramentas de análise automatizadas. O código Mariana Trench está intimamente interligado com outros projetos do Facebook; por exemplo, o otimizador de bytecode Redex foi usado para analisar o bytecode e a biblioteca SPARTA foi usada para interpretar visualmente e estudar os resultados da análise estática.
Vulnerabilidades potenciais e problemas de privacidade são identificados pela análise de fluxos de dados durante a execução do aplicativo para identificar situações em que dados externos brutos são processados em construções perigosas, como consultas SQL, operações de arquivo e chamadas que acionam programas externos.
O trabalho do analisador se resume a identificar fontes de dados e chamadas perigosas nas quais os dados de origem não devem ser usados - o analisador rastreia a passagem de dados através da cadeia de chamadas de função e conecta os dados de origem a locais potencialmente perigosos no código . Por exemplo, considera-se que os dados recebidos por meio de uma chamada para Intent.getData exigem rastreamento de origem, e chamadas para Log.w e Runtime.exec são consideradas usos perigosos.
Fonte: opennet.ru