ஆண்ட்ராய்டு இயங்குதளம் மற்றும் ஜாவா புரோகிராம்களுக்கான அப்ளிகேஷன்களில் உள்ள பாதிப்புகளைக் கண்டறியும் நோக்கில், ஃபேஸ்புக், மரியானா டிரெஞ்ச் என்ற புதிய திறந்த நிலை பகுப்பாய்வியை அறிமுகப்படுத்தியது. மூலக் குறியீடுகள் இல்லாமல் திட்டங்களை பகுப்பாய்வு செய்ய முடியும், இதற்கு டால்விக் மெய்நிகர் இயந்திரத்திற்கான பைட்கோடு மட்டுமே கிடைக்கிறது. மற்றொரு நன்மை அதன் மிக உயர்ந்த வேகம் (குறியீட்டின் பல மில்லியன் வரிகளின் பகுப்பாய்வு சுமார் 10 வினாடிகள் ஆகும்), இது மரியானா அகழியைப் பயன்படுத்தி அனைத்து முன்மொழியப்பட்ட மாற்றங்களையும் அவர்கள் வரும்போது சரிபார்க்க அனுமதிக்கிறது. திட்டக் குறியீடு C++ இல் எழுதப்பட்டு MIT உரிமத்தின் கீழ் விநியோகிக்கப்படுகிறது.
ஃபேஸ்புக், இன்ஸ்டாகிராம் மற்றும் வாட்ஸ்அப்பிற்கான மொபைல் பயன்பாடுகளின் மூல உரைகளை மதிப்பாய்வு செய்யும் செயல்முறையை தானியங்குபடுத்தும் திட்டத்தின் ஒரு பகுதியாக பகுப்பாய்வி உருவாக்கப்பட்டது. 2021 ஆம் ஆண்டின் முதல் பாதியில், Facebook மொபைல் பயன்பாடுகளில் உள்ள பாதிப்புகளில் பாதி தானியங்கி பகுப்பாய்வுக் கருவிகளைப் பயன்படுத்தி அடையாளம் காணப்பட்டது. மரியானா ட்ரெஞ்ச் குறியீடு மற்ற Facebook திட்டங்களுடன் நெருக்கமாகப் பின்னிப் பிணைந்துள்ளது; எடுத்துக்காட்டாக, பைட்கோடை அலசுவதற்கு Redex bytecode Optimizer பயன்படுத்தப்பட்டது, மேலும் SPARTA நூலகம் நிலையான பகுப்பாய்வின் முடிவுகளை பார்வைக்கு விளக்கவும் ஆய்வு செய்யவும் பயன்படுத்தப்பட்டது.
SQL வினவல்கள், கோப்புச் செயல்பாடுகள் மற்றும் வெளிப்புற நிரல்களைத் தூண்டும் அழைப்புகள் போன்ற ஆபத்தான கட்டுமானங்களில் மூல வெளிப்புறத் தரவு செயலாக்கப்படும் சூழ்நிலைகளைக் கண்டறிய, பயன்பாட்டின் செயல்பாட்டின் போது தரவு ஓட்டங்களை பகுப்பாய்வு செய்வதன் மூலம் சாத்தியமான பாதிப்புகள் மற்றும் தனியுரிமை சிக்கல்கள் அடையாளம் காணப்படுகின்றன.
பகுப்பாய்வியின் பணியானது தரவுகளின் ஆதாரங்களையும், மூலத் தரவைப் பயன்படுத்தக் கூடாத ஆபத்தான அழைப்புகளையும் கண்டறிவதில் இறங்குகிறது - பகுப்பாய்வி, செயல்பாட்டு அழைப்புகளின் சங்கிலி மூலம் தரவின் பத்தியைக் கண்காணித்து, குறியீட்டில் ஆபத்தான இடங்களுடன் மூலத் தரவை இணைக்கிறது. . எடுத்துக்காட்டாக, Intent.getDataக்கான அழைப்பின் மூலம் பெறப்பட்ட தரவு மூல கண்காணிப்பு தேவை எனக் கருதப்படுகிறது, மேலும் Log.w மற்றும் Runtime.execக்கான அழைப்புகள் ஆபத்தான பயன்களாகக் கருதப்படுகின்றன.
ஆதாரம்: opennet.ru