Facebook a introdus un nou analizor static deschis, Mariana Trench, care vizează identificarea vulnerabilităților în aplicațiile pentru platforma Android și programele Java. Este posibil să se analizeze proiecte fără coduri sursă, pentru care este disponibil doar bytecode pentru mașina virtuală Dalvik. Un alt avantaj este viteza foarte mare de execuție (analiza a câtorva milioane de linii de cod durează aproximativ 10 secunde), ceea ce vă permite să utilizați Mariana Trench pentru a verifica toate modificările propuse pe măsură ce sosesc. Codul proiectului este scris în C++ și este distribuit sub licența MIT.
Analizorul a fost dezvoltat ca parte a unui proiect de automatizare a procesului de revizuire a textelor sursă ale aplicațiilor mobile pentru Facebook, Instagram și Whatsapp. În prima jumătate a anului 2021, jumătate din toate vulnerabilitățile din aplicațiile mobile Facebook au fost identificate folosind instrumente de analiză automată. Codul Mariana Trench este strâns împletit cu alte proiecte Facebook; de exemplu, optimizatorul de bytecode Redex a fost folosit pentru a analiza codul de octet, iar biblioteca SPARTA a fost folosită pentru a interpreta vizual și a studia rezultatele analizei statice.
Potențialele vulnerabilități și problemele de confidențialitate sunt identificate prin analiza fluxurilor de date în timpul execuției aplicației pentru a identifica situațiile în care datele externe brute sunt procesate în structuri periculoase, cum ar fi interogări SQL, operațiuni cu fișiere și apeluri care declanșează programe externe.
Munca analizorului se rezumă la identificarea surselor de date și a apelurilor periculoase în care datele sursă nu ar trebui utilizate - analizatorul urmărește trecerea datelor prin lanțul de apeluri de funcție și conectează datele sursă cu locuri potențial periculoase din cod. . De exemplu, se consideră că datele primite printr-un apel către Intent.getData necesită urmărirea sursei, iar apelurile către Log.w și Runtime.exec sunt considerate utilizări periculoase.
Sursa: opennet.ru