Facebook ngenalkeun analisa statik kabuka anyar, Mariana Trench, anu ditujukeun pikeun ngaidentipikasi kerentanan dina aplikasi pikeun platform Android sareng program Java. Kasebut nyaéta dimungkinkeun pikeun nganalisis proyék tanpa kode sumber, nu ngan bytecode pikeun mesin virtual Dalvik sadia. Kauntungan sejenna nyaeta speed palaksanaan pisan tinggi na (analisa sababaraha juta garis kode nyokot ngeunaan 10 detik), nu ngidinan Anjeun pikeun make Mariana Trench pikeun pariksa sagala parobahan diusulkeun sakumaha aranjeunna anjog. Kodeu proyék ditulis dina C ++ sarta disebarkeun dina lisénsi MIT.
Analyzer dikembangkeun salaku bagian tina proyék pikeun ngajadikeun otomatis prosés marios teks sumber aplikasi sélulér pikeun Facebook, Instagram sareng Whatsapp. Dina satengah munggaran 2021, satengah sadaya kerentanan dina aplikasi mobile Facebook diidentifikasi nganggo alat analisis otomatis. Kode Mariana Trench raket intertwined jeung proyék Facebook séjén; contona, Redex bytecode optimizer dipaké pikeun parse bytecode, sarta perpustakaan SPARTA dipaké pikeun visually napsirkeun sarta nalungtik hasil analisis statik.
Poténsi kerentanan sareng masalah privasi diidentipikasi ku nganalisa aliran data salami palaksanaan aplikasi pikeun ngaidentipikasi kaayaan dimana data éksternal atah diolah dina konstruksi bahaya, sapertos query SQL, operasi file, sareng telepon anu memicu program éksternal.
Pagawean analis turun pikeun ngaidentipikasi sumber data sareng telepon bahaya dimana data sumberna henteu kedah dianggo - analisa ngalacak jalanna data ngalangkungan ranté telepon fungsi sareng nyambungkeun data sumber sareng tempat anu berpotensi bahaya dina kode. . Contona, data anu ditampi ngaliwatan telepon ka Intent.getData dianggap merlukeun tracking sumber, sarta nelepon ka Log.w jeung Runtime.exec dianggap pamakéan bahaya.
sumber: opennet.ru