Mariana Trench, Facebook-eko kode irekiko kode estatikoen aztertzailea

Facebook aurkeztu zen duela egun batzuk askatu zuen kode irekiko analisi estatikoa, Mariana Trench, Android aplikazioetako eta Java programetako ahultasunak identifikatzeko helburuarekin.

At iturburu koderik gabeko proiektuak aztertzeko gaitasuna ematen da, horretarako Dalvik makina birtualaren bytecode soilik dago erabilgarri. Beste abantaila bat exekuzio-abiadura oso altua da (zenbait milioi lerro kode aztertzeak 10 segundo inguru irauten du), eta horri esker, Mariana Trench erabili ahal izango duzu proposatutako aldaketa guztiak egiaztatu ahala sartu ahala.

Analizatzailea kodea berrikusteko prozesua automatizatzeko proiektu baten barruan garatu zen mugikorretarako aplikazioen iturria Facebook, Instagram eta Whatsappetik.

Android eta Java aplikazioetako segurtasun eta pribatutasun akatsak detektatu eta prebenitzeko erabiltzen dugun tresna den Mariana Trench-i (MT) buruzko xehetasunak partekatzen ditugu. Eraikinen automatizazioaren bidez segurtasuna eskalatzen laguntzeko egin dugun ahaleginaren barruan, duela gutxi MT ireki dugu Facebookeko eta industria osoko segurtasun ingeniariei laguntzeko.

Argitalpen hau hirugarrena da fidatzen garen analisi tresna estatiko eta dinamikoetan murgiltze sakonak egiten ditugun sailean. MT da azken sistema, Zoncolan eta Pysa-ren atzetik, Hack eta Python kodearentzat hurrenez hurren.

2021eko lehen seihilekoan Facebook mugikorretarako aplikazioen ahultasun guztien erdia analisi tresna automatikoen bidez identifikatu zen. Mariana Trench-en kodea Facebookeko beste proiektu batzuekin estuki lotuta dago, adibidez, Redex bytecode optimizer eragiketa bytecode aztertzeko erabiltzen da eta SPARTA liburutegia interpretazio bisuala eta emaitzak aztertzeko erabiltzen da analisi estatikoa.

Balizko ahultasunak eta segurtasun arazoak datu fluxuak aztertuta identifikatzen dira aplikazioa exekutatzean, egoerak identifikatzeko aukera ematen duena bertan kanpoko datu gordinak eraikuntza arriskutsuetan prozesatzen dira, hala nola SQL kontsultetan, fitxategien eragiketetan eta kanpoko programak abiarazten dituzten deietan.

MT kode mugikorren oinarri handiak eskaneatu eta produkzioan sartu aurretik arazo potentzialak salatu ahal izateko diseinatuta dago. Facebookeko segurtasun eta software ingeniarien arteko lankidetza estuaren ondorioz sortu zen, MTk kodea entrenatzen eta datuak nola igarotzen diren aztertzen trebatzen baitute. Datu-fluxuak aztertzea erabilgarria da, segurtasun- eta pribatutasun-arazo asko behar ez liratekeen datuen arabera modelatu baitaitezke.

Analizatzailearen lana datu iturriak eta dei arriskutsuak zehaztera murrizten da, jatorrizko datuak non erabili behar ez diren: analizagailuak funtzio deien katearen bidez datuak igarotzen direla kontrolatzen du eta hasierako datuak kodean arriskutsuak izan daitezkeen lekuekin konektatzen ditu.

MTn geroztik, datuen fluxua honela deskribatu daiteke:

  • Iturria: jatorrizko puntu bat. Erabiltzaileak `Intent.getData`-ren bidez aplikazioan sartzen den katea izan daiteke hau.
  • Konketa: helmuga. Android-en, hau `Log.w` edo` Runtime.exec` telefonora dei daiteke. Adibidez, Intent.getData-ra egindako deietako datuak kontrolatzeko iturritzat hartzen dira eta Log.w-ra eta Runtime.exec-era egindako deiak erabilera arriskutsutzat hartzen dira.

Kode base handi batek iturri mota ugari eta dagozkien hargailuak izan ditzake. MTri esan diezaiokegu fluxu zehatzak erakusteko arauak definituz.

Arau batek zehaztu dezake, adibidez, intentziozko birbideratzeak (erasotzaileei datu sentikorrak atzematea ahalbidetzen dieten arazoak) aurkitu nahi ditugula, "erabiltzaileak kontrolatutako" iturrietatik "asmoen birbideratzeen" harraskaraino aztarna guztiak erakusten dizkigun araua definituz.

Bukatzeko horri buruz gehiago jakiteko interesa baduzu, egiaztatu dezakezu xehetasunak ondoko estekan.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.