Facebook ได้เปิดตัว Mariana Trench ซึ่งเป็นเครื่องมือวิเคราะห์แบบโอเพ่นซอร์สแบบคงที่ซึ่งมีจุดมุ่งหมายเพื่อระบุช่องโหว่ในแอปพลิเคชัน Android และโปรแกรม Java เป็นไปได้ที่จะวิเคราะห์โปรเจ็กต์ที่ไม่มีซอร์สโค้ด ซึ่งมีเพียงไบต์โค้ดสำหรับเครื่องเสมือน Dalvik เท่านั้น ข้อดีอีกประการหนึ่งคือความเร็วในการดำเนินการที่สูงมาก (การวิเคราะห์โค้ดหลายล้านบรรทัดใช้เวลาประมาณ 10 วินาที) ซึ่งช่วยให้คุณใช้ Mariana Trench เพื่อตรวจสอบการเปลี่ยนแปลงที่เสนอทั้งหมดเมื่อมาถึง รหัสโครงการเขียนด้วยภาษา C++ และเผยแพร่ภายใต้ใบอนุญาต MIT
เครื่องวิเคราะห์ได้รับการพัฒนาโดยเป็นส่วนหนึ่งของโครงการเพื่อทำให้กระบวนการตรวจสอบข้อความต้นฉบับของแอปพลิเคชันมือถือสำหรับ Facebook, Instagram และ Whatsapp เป็นแบบอัตโนมัติ ในช่วงครึ่งแรกของปี 2021 ครึ่งหนึ่งของช่องโหว่ทั้งหมดในแอปพลิเคชันมือถือของ Facebook ถูกระบุโดยใช้เครื่องมือวิเคราะห์อัตโนมัติ โค้ด Mariana Trench มีความเกี่ยวพันอย่างใกล้ชิดกับโปรเจ็กต์ Facebook อื่นๆ ตัวอย่างเช่น เครื่องมือเพิ่มประสิทธิภาพ Redex bytecode ใช้ในการแยกวิเคราะห์ bytecode และไลบรารี SPARTA ใช้เพื่อตีความและศึกษาผลลัพธ์ของการวิเคราะห์แบบคงที่ด้วยภาพ
ช่องโหว่และปัญหาความเป็นส่วนตัวที่อาจเกิดขึ้นจะถูกระบุโดยการวิเคราะห์กระแสข้อมูลระหว่างการทำงานของแอปพลิเคชัน เพื่อระบุสถานการณ์ที่มีการประมวลผลข้อมูลภายนอกแบบดิบในโครงสร้างที่เป็นอันตราย เช่น การสืบค้น SQL การทำงานของไฟล์ และการเรียกที่ทริกเกอร์โปรแกรมภายนอก
งานของเครื่องวิเคราะห์อยู่ที่การระบุแหล่งที่มาของข้อมูลและการเรียกที่เป็นอันตรายซึ่งไม่ควรใช้ข้อมูลต้นฉบับ - เครื่องวิเคราะห์จะติดตามการส่งผ่านข้อมูลผ่านสายการเรียกฟังก์ชันและเชื่อมต่อข้อมูลต้นฉบับกับตำแหน่งที่อาจเป็นอันตรายในโค้ด . ตัวอย่างเช่น ข้อมูลที่ได้รับผ่านการเรียกไปยัง Intent.getData ถือว่าต้องมีการติดตามแหล่งที่มา และการเรียกไปยัง Log.w และ Runtime.exec ถือเป็นการใช้งานที่เป็นอันตราย
ที่มา: opennet.ru