فیس بک نے ایک نیا اوپن سورس سٹیٹک اینالائزر ماریانا ٹرینچ متعارف کرایا ہے جس کا مقصد اینڈرائیڈ ایپلی کیشنز اور جاوا پروگرامز میں موجود خطرات کی نشاندہی کرنا ہے۔ منبع کوڈ کے بغیر پروجیکٹس کا تجزیہ کرنا ممکن ہے، جس کے لیے صرف Dalvik ورچوئل مشین کے لیے بائی کوڈ دستیاب ہے۔ ایک اور فائدہ اس کی انتہائی تیز رفتاری ہے (کئی ملین لائنوں کے کوڈ کے تجزیے میں تقریباً 10 سیکنڈ لگتے ہیں)، جس کی مدد سے آپ ماریانا ٹرینچ کا استعمال کرتے ہوئے تمام مجوزہ تبدیلیوں کے آتے ہی چیک کر سکتے ہیں۔ پروجیکٹ کوڈ C++ میں لکھا گیا ہے اور MIT لائسنس کے تحت تقسیم کیا گیا ہے۔
تجزیہ کار فیس بک، انسٹاگرام اور واٹس ایپ کے لیے موبائل ایپلی کیشنز کے سورس ٹیکسٹس کا جائزہ لینے کے عمل کو خودکار بنانے کے لیے ایک پروجیکٹ کے حصے کے طور پر تیار کیا گیا تھا۔ 2021 کی پہلی ششماہی میں، فیس بک موبائل ایپلی کیشنز میں موجود تمام کمزوریوں میں سے نصف کی شناخت خودکار تجزیہ ٹولز کے ذریعے کی گئی۔ ماریانا ٹرینچ کوڈ دوسرے فیس بک پروجیکٹس کے ساتھ گہرا جڑا ہوا ہے؛ مثال کے طور پر، ریڈیکس بائیک کوڈ آپٹیمائزر کا استعمال بائیک کوڈ کو پارس کرنے کے لیے کیا گیا تھا، اور SPARTA لائبریری کو جامد تجزیہ کے نتائج کی بصری تشریح اور مطالعہ کرنے کے لیے استعمال کیا گیا تھا۔
ممکنہ کمزوریوں اور رازداری کے مسائل کی نشاندہی ایپلی کیشن کے عمل کے دوران ڈیٹا کے بہاؤ کا تجزیہ کرکے ان حالات کی نشاندہی کرنے کے لیے کی جاتی ہے جہاں خام بیرونی ڈیٹا کو خطرناک تعمیرات میں پروسیس کیا جاتا ہے، جیسے کہ ایس کیو ایل کے سوالات، فائل آپریشنز، اور کالز جو بیرونی پروگراموں کو متحرک کرتی ہیں۔
تجزیہ کار کا کام ڈیٹا کے ذرائع اور خطرناک کالوں کی نشاندہی کرنے پر آتا ہے جس میں سورس ڈیٹا کو استعمال نہیں کیا جانا چاہیے - تجزیہ کار فنکشن کالز کے سلسلے کے ذریعے ڈیٹا کے گزرنے کو ٹریک کرتا ہے اور کوڈ میں ممکنہ طور پر خطرناک جگہوں سے سورس ڈیٹا کو جوڑتا ہے۔ . مثال کے طور پر، Intent.getData پر کال کے ذریعے موصول ہونے والے ڈیٹا کو سورس ٹریکنگ کی ضرورت سمجھا جاتا ہے، اور Log.w اور Runtime.exec پر کالز کو خطرناک استعمال سمجھا جاتا ہے۔
ماخذ: opennet.ru