Facebook imeanzisha kichanganuzi kipya cha programu huria, Mariana Trench, kinacholenga kutambua udhaifu katika programu za Android na programu za Java. Inawezekana kuchambua miradi bila misimbo ya chanzo, ambayo bytecode tu ya mashine ya Dalvik inapatikana. Faida nyingine ni kasi yake ya juu sana ya utekelezaji (uchambuzi wa mistari milioni kadhaa ya nambari huchukua sekunde 10), ambayo hukuruhusu kutumia Mariana Trench kuangalia mabadiliko yote yaliyopendekezwa yanapofika. Nambari ya mradi imeandikwa kwa C++ na inasambazwa chini ya leseni ya MIT.
Kichanganuzi kiliundwa kama sehemu ya mradi wa kuhariri mchakato wa kukagua maandishi asilia ya programu za rununu za Facebook, Instagram na Whatsapp. Katika nusu ya kwanza ya 2021, nusu ya udhaifu wote katika programu za simu za mkononi za Facebook ilitambuliwa kwa kutumia zana za uchanganuzi otomatiki. Msimbo wa Mariana Trench umefungamana kwa karibu na miradi mingine ya Facebook; kwa mfano, kiboreshaji cha Redex bytecode kilitumiwa kuchanganua bytecode, na maktaba ya SPARTA ilitumiwa kutafsiri na kusoma matokeo ya uchanganuzi tuli.
Athari zinazowezekana na masuala ya faragha hutambuliwa kwa kuchanganua mtiririko wa data wakati wa utekelezaji wa programu ili kutambua hali ambapo data ghafi ya nje inachakatwa katika miundo hatari, kama vile hoja za SQL, uendeshaji wa faili na simu zinazoanzisha programu za nje.
Kazi ya kichanganuzi inategemea kutambua vyanzo vya data na simu hatari ambamo data chanzo haipaswi kutumiwa - kichanganuzi hufuatilia upitishaji wa data kupitia msururu wa simu za utendakazi na kuunganisha data chanzo na maeneo yanayoweza kuwa hatari katika msimbo. . Kwa mfano, data iliyopokelewa kupitia simu kwa Intent.getData inachukuliwa kuhitaji ufuatiliaji wa chanzo, na simu kwa Log.w na Runtime.exec huchukuliwa kuwa matumizi hatari.
Chanzo: opennet.ru