Facebook представив статичний аналізатор Маріанський жолоб для виявлення вразливостей в Android і Java

Новий статичний аналізатор Facebook Mariana Trench, призначений для виявлення вразливостей в додатках для платформи Android і програмах на мові Java. Надає можливість аналізувати проекти без джерел, для яких доступний тільки байт-код для віртуальної машини Dalvik. З переваг виділяється і дуже висока швидкість виконання (аналіз декількох мільйонів рядків коду займає близько 10 секунд), що дозволяє використовувати Маріанську западину для перевірки всіх запропонованих змін у міру їх надходження. Код проекту написаний на C++ і поширюється за ліцензією Массачусетського технологічного інституту.

Аналізатор був розроблений в рамках проекту з автоматизації процесу рецензування вихідних текстів мобільних додатків Facebook, Instagram і Whatsapp. У першому півріччі 2021 року половина всіх вразливостей у мобільних додатках Facebook була виявлена за допомогою інструментів автоматизованого аналізу. Код Маріанської траншеї тісно переплітається з іншими проектами Facebook, наприклад, для розбору байт-коду використовувався оптимізатор байт-коду redex , а бібліотека SPARTA використовувалася для візуальної інтерпретації та вивчення результатів статичного аналізу.

Виявлення потенційних вразливостей і проблем конфіденційності шляхом аналізу потоків даних під час виконання додатків, що дозволяє виявити ситуації, коли неясні зовнішні дані обробляються в небезпечних конструкціях, таких як SQL-запити, файлові операції і виклики, які призводять до запуску зовнішніх програм.

Робота аналізатора зводиться до визначення джерел надходження даних і небезпечних викликів, при яких не повинні використовуватися вихідні дані - аналізатор відстежує проходження даних по ланцюжку викликів функцій і з'єднує вихідні дані з потенційно небезпечними місцями в коді. Наприклад, дані, отримані через виклик Intent.getData, вважаються джерелом відстеження, а виклики в Log.w і Runtime.exec вважаються небезпечними додатками.

Інші новини