Фејсбук је представио нови отворени статички анализатор, Маријана Тренч, који има за циљ да идентификује рањивости у апликацијама за Андроид платформу и Јава програме. Могуће је анализирати пројекте без изворних кодова, за које је доступан само бајт код за Далвик виртуелну машину. Још једна предност је његова веома велика брзина извршавања (анализа неколико милиона линија кода траје око 10 секунди), што вам омогућава да користите Маријански ров за проверу свих предложених промена како стигну. Код пројекта је написан у Ц++ и дистрибуира се под МИТ лиценцом.
Анализатор је развијен у оквиру пројекта аутоматизације процеса прегледа изворних текстова мобилних апликација за Фацебоок, Инстаграм и Вхатсапп. У првој половини 2021. половина свих рањивости у Фацебоок мобилним апликацијама идентификована је помоћу аутоматизованих алата за анализу. Код Маријанског рова је уско испреплетен са другим Фацебоок пројектима; на пример, Редек оптимизатор бајткода је коришћен за рашчлањивање бајткода, а библиотека СПАРТА је коришћена за визуелно тумачење и проучавање резултата статичке анализе.
Потенцијалне рањивости и проблеми са приватношћу се идентификују анализом токова података током извршавања апликације да би се идентификовале ситуације у којима се необрађени спољни подаци обрађују у опасним конструкцијама, као што су СКЛ упити, операције са датотекама и позиви који покрећу спољне програме.
Рад анализатора се своди на идентификацију извора података и опасних позива у којима изворни подаци не би требало да се користе – анализатор прати пролазак података кроз ланац позива функција и повезује изворне податке са потенцијално опасним местима у коду. . На пример, сматра се да подаци примљени путем позива Интент.гетДата захтевају праћење извора, а позиви Лог.в и Рунтиме.екец се сматрају опасном употребом.
Извор: опеннет.ру