Facebook, Android uygulamaları ve Java programlarındaki güvenlik açıklarını tespit etmeyi amaçlayan yeni bir açık kaynaklı statik analiz aracı olan Mariana Trench'i tanıttı. Yalnızca Dalvik sanal makinesinin bayt kodunun mevcut olduğu projeleri kaynak kodları olmadan analiz etmek mümkündür. Diğer bir avantaj ise çok yüksek yürütme hızıdır (birkaç milyon kod satırının analizi yaklaşık 10 saniye sürer), bu da önerilen tüm değişiklikleri geldiklerinde kontrol etmek için Mariana Trench'i kullanmanıza olanak tanır. Proje kodu C++ ile yazılmıştır ve MIT lisansı altında dağıtılmaktadır.
Analizör, Facebook, Instagram ve Whatsapp için mobil uygulamaların kaynak metinlerini inceleme sürecini otomatikleştirmeye yönelik bir projenin parçası olarak geliştirildi. 2021'in ilk yarısında Facebook mobil uygulamalarındaki tüm güvenlik açıklarının yarısı otomatik analiz araçları kullanılarak tespit edildi. Mariana Trench kodu diğer Facebook projeleriyle yakından iç içe geçmiş durumda; örneğin, bayt kodunu ayrıştırmak için Redex bayt kodu iyileştiricisi kullanıldı ve statik analiz sonuçlarını görsel olarak yorumlamak ve incelemek için SPARTA kitaplığı kullanıldı.
Potansiyel güvenlik açıkları ve gizlilik sorunları, SQL sorguları, dosya işlemleri ve harici programları tetikleyen çağrılar gibi ham harici verilerin tehlikeli yapılarda işlendiği durumları belirlemek için uygulamanın yürütülmesi sırasında veri akışları analiz edilerek belirlenir.
Analizörün çalışması, kaynak verilerin kullanılmaması gereken veri kaynaklarını ve tehlikeli çağrıları tanımlamaktan ibarettir - analizör, işlev çağrıları zinciri boyunca verilerin geçişini izler ve kaynak verileri koddaki potansiyel olarak tehlikeli yerlere bağlar . Örneğin, Intent.getData'ya yapılan bir çağrı yoluyla alınan verilerin kaynak takibi gerektirdiği kabul edilir ve Log.w ve Runtime.exec'e yapılan çağrılar tehlikeli kullanımlar olarak kabul edilir.
Kaynak: opennet.ru