فيسبوڪ متعارف ڪرايو آهي هڪ نئون اوپن اسٽٽڪ اينالائيزر، ماريانا ٽرنچ، جنهن جو مقصد Android پليٽ فارم ۽ جاوا پروگرامن جي ايپليڪيشنن ۾ موجود ڪمزورين جي نشاندهي ڪرڻ آهي. اهو ممڪن آهي پروجيڪٽ جو تجزيو ڪرڻ کان سواءِ ماخذ ڪوڊ، جنهن لاءِ صرف بائيٽ ڪوڊ موجود آهي Dalvik ورچوئل مشين لاءِ. ٻيو فائدو ان جي تمام گهڻي تيز رفتار آهي (ڪيترن ملين لائنن جي ڪوڊ جو تجزيو تقريباً 10 سيڪنڊن جو وقت وٺندو آهي)، جيڪو توهان کي استعمال ڪرڻ جي اجازت ڏئي ٿو ماريانا ٽرينچ سڀني تجويز ڪيل تبديلين کي چيڪ ڪرڻ لاءِ جيئن اهي اچن ٿيون. پروجيڪٽ ڪوڊ C++ ۾ لکيل آهي ۽ MIT لائسنس تحت ورهايو ويو آهي.
تجزيه نگار هڪ منصوبي جي حصي طور تيار ڪيو ويو آهي ته جيئن فيس بوڪ، انسٽاگرام ۽ واٽس ايپ لاءِ موبائيل ايپليڪيشنن جي ماخذ متنن جو جائزو وٺڻ جي عمل کي خودڪار ڪيو وڃي. 2021 جي پهرين اڌ ۾، فيس بوڪ موبائل ايپليڪيشنن ۾ سڀني ڪمزورين جو اڌ خودڪار تجزياتي اوزار استعمال ڪندي سڃاڻپ ڪيو ويو. ماريانا ٽرينچ ڪوڊ ٻين Facebook منصوبن سان ويجھي جڙيل آهي، مثال طور، Redex bytecode optimizer جي ترقيات بائيٽ ڪوڊ کي پارس ڪرڻ لاءِ استعمال ٿينديون آهن، ۽ SPARTA لائبريري کي جامد تجزيي جي نتيجن جي بصري تفسير ۽ مطالعي لاءِ استعمال ڪيو ويندو آهي.
امڪاني خطرات ۽ رازداري مسئلن جي نشاندهي ڪئي وئي آهي ڊيٽا جي وهڪري جو تجزيو ڪندي ايپليڪيشن جي عمل جي دوران انهن حالتن کي سڃاڻڻ لاءِ جتي خام خارجي ڊيٽا خطرناڪ تعميرات ۾ پروسيس ڪئي ويندي آهي، جهڙوڪ SQL سوالن، فائل آپريشنز، ۽ ڪالون جيڪي خارجي پروگرامن کي متحرڪ ڪن ٿيون.
تجزيو ڪندڙ جو ڪم ڊيٽا جي ذريعن جي نشاندهي ڪرڻ ۽ خطرناڪ ڪالن تي اچي ٿو جنهن ۾ ماخذ ڊيٽا استعمال نه ٿيڻ گهرجي - تجزيه ڪندڙ ڊيٽا جي گذرڻ کي ٽريڪ ڪري ٿو فنکشن ڪالن جي زنجير ذريعي ۽ ماخذ ڊيٽا کي ڪوڊ ۾ ممڪن طور تي خطرناڪ هنڌن سان ڳنڍي ٿو. . مثال طور، Intent.getData تي ڪال ذريعي حاصل ڪيل ڊيٽا کي ماخذ ٽريڪنگ جي ضرورت سمجهيو ويندو آهي، ۽ Log.w ۽ Runtime.exec تي ڪالون خطرناڪ استعمال سمجهيا ويندا آهن.
جو ذريعو: opennet.ru