Facebook har introducerat en ny statisk analysator med öppen källkod, Mariana Trench, som syftar till att identifiera sårbarheter i Android-applikationer och Java-program. Det är möjligt att analysera projekt utan källkoder, för vilka endast bytekod för Dalviks virtuella maskin är tillgänglig. En annan fördel är dess mycket höga exekveringshastighet (analys av flera miljoner rader kod tar cirka 10 sekunder), vilket gör att du kan använda Mariana Trench för att kontrollera alla föreslagna ändringar när de anländer. Projektkoden är skriven i C++ och distribueras under MIT-licensen.
Analysatorn utvecklades som en del av ett projekt för att automatisera processen att granska källtexterna för mobilapplikationer för Facebook, Instagram och Whatsapp. Under första halvåret 2021 identifierades hälften av alla sårbarheter i Facebooks mobilapplikationer med hjälp av automatiserade analysverktyg. Mariana Trench-koden är nära sammanflätad med andra Facebook-projekt; till exempel användes Redex bytecode-optimerare för att analysera bytekoden, och SPARTA-biblioteket användes för att visuellt tolka och studera resultaten av statisk analys.
Potentiella sårbarheter och integritetsproblem identifieras genom att analysera dataflöden under applikationskörning för att identifiera situationer där rå extern data bearbetas i farliga konstruktioner, såsom SQL-frågor, filoperationer och anrop som utlöser externa program.
Analysatorns arbete handlar om att identifiera datakällor och farliga samtal där källdata inte ska användas - analysatorn spårar passagen av data genom kedjan av funktionsanrop och kopplar samman källdata med potentiellt farliga platser i koden . Till exempel anses data som tas emot genom ett anrop till Intent.getData kräva källspårning, och anrop till Log.w och Runtime.exec anses vara farliga användningsområden.
Källa: opennet.ru