ફેસબુકનું અનાવરણ થોડા દિવસો પહેલા તે રિલીઝ થઈ છે ઓપન સોર્સ સ્ટેટિક એનાલિઝર, મારિયાના ટ્રેન્ચ, જેનો હેતુ એન્ડ્રોઇડ એપ્લિકેશન્સ અને જાવા પ્રોગ્રામ્સમાં નબળાઈઓને ઓળખવાનો છે.
મુ સ્રોત કોડ વિના પ્રોજેક્ટ્સનું વિશ્લેષણ કરવાની ક્ષમતા પૂરી પાડવામાં આવે છે, જેના માટે માત્ર Dalvik વર્ચ્યુઅલ મશીન માટે બાઇટકોડ ઉપલબ્ધ છે. બીજો ફાયદો એ એક્ઝેક્યુશનની ખૂબ જ speedંચી ઝડપ છે (કોડની ઘણી મિલિયન લાઇનોનું વિશ્લેષણ લગભગ 10 સેકન્ડ લે છે), જે તમને રજૂ કરેલા તમામ સૂચિત ફેરફારોને ચકાસવા માટે મારિયાના ટ્રેન્ચનો ઉપયોગ કરવાની મંજૂરી આપે છે.
વિશ્લેષક કોડ સમીક્ષા પ્રક્રિયાને સ્વચાલિત કરવાના પ્રોજેક્ટના ભાગ રૂપે વિકસાવવામાં આવી હતી મોબાઇલ એપ્લિકેશનનો સ્રોત ફેસબુક, ઇન્સ્ટાગ્રામ અને વોટ્સએપ.
અમે મારિયાના ટ્રેન્ચ (MT) વિશેની વિગતો શેર કરીએ છીએ, જેનો ઉપયોગ અમે એન્ડ્રોઇડ અને જાવા એપ્લિકેશન્સમાં સુરક્ષા અને ગોપનીયતા ભૂલોને શોધવા અને અટકાવવા માટે કરીએ છીએ. બિલ્ડિંગ ઓટોમેશન દ્વારા સુરક્ષા વધારવામાં મદદ કરવાના અમારા પ્રયત્નોના ભાગરૂપે, અમે તાજેતરમાં ફેસબુક અને સમગ્ર ઉદ્યોગમાં સુરક્ષા ઇજનેરોને ટેકો આપવા માટે એમટી ખોલ્યું છે.
આ પોસ્ટ અમારા વિશ્વાસના સ્થિર અને ગતિશીલ વિશ્લેષણ સાધનોમાં deepંડા ડાઇવની શ્રેણીમાં ત્રીજી છે. MT એ નવીનતમ સિસ્ટમ છે, જે અનુક્રમે હેક અને પાયથોન કોડ માટે બનાવેલ ઝોનકોલન અને પાયસા છે.
2021 ના પહેલા ભાગમાં, ફેસબુક મોબાઇલ એપ્લિકેશન્સની તમામ નબળાઈઓમાંથી અડધા સ્વયંસંચાલિત વિશ્લેષણ સાધનોનો ઉપયોગ કરીને ઓળખવામાં આવી હતી. મારિયાના ટ્રેન્ચનો કોડ અન્ય ફેસબુક પ્રોજેક્ટ્સ સાથે નજીકથી જોડાયેલો છે, ઉદાહરણ તરીકે, બાઈટકોડનું વિશ્લેષણ કરવા માટે રિડેક્સ બાઈટકોડ ઓપ્ટિમાઈઝર ઓપરેશનનો ઉપયોગ થાય છે અને સ્પાર્ટા લાઈબ્રેરીનો ઉપયોગ વિઝ્યુઅલ અર્થઘટન અને પરિણામોના અભ્યાસ માટે થાય છે. સ્થિર વિશ્લેષણ.
સંભવિત નબળાઈઓ અને સુરક્ષા મુદ્દાઓ ડેટા પ્રવાહનું વિશ્લેષણ કરીને ઓળખવામાં આવે છે અરજીના અમલ દરમિયાન, જે પરિસ્થિતિઓને ઓળખવા માટે પરવાનગી આપે છે જેમાં કાચા બાહ્ય ડેટાને ખતરનાક બાંધકામોમાં પ્રક્રિયા કરવામાં આવે છે, જેમ કે એસક્યુએલ ક્વેરીઝ, ફાઇલ ઓપરેશન્સ અને કોલ્સ જે બાહ્ય પ્રોગ્રામ્સના લોન્ચિંગ તરફ દોરી જાય છે.
MT મોટા મોબાઇલ કોડ પાયાને સ્કેન કરવા અને ઉત્પાદનમાં જતા પહેલા પુલ વિનંતીઓમાં સંભવિત સમસ્યાઓને નિર્ધારિત કરવા માટે રચાયેલ છે. તે ફેસબુકના સિક્યોરિટી અને સોફ્ટવેર એન્જિનિયરો વચ્ચેના ગા collaboration સહયોગના પરિણામે બનાવવામાં આવ્યું હતું, જે એમટીને કોડ જોવા અને તેના દ્વારા ડેટા કેવી રીતે વહે છે તેનું વિશ્લેષણ કરવાની તાલીમ આપે છે. ડેટા પ્રવાહનું વિશ્લેષણ ઉપયોગી છે કારણ કે ઘણા સુરક્ષા અને ગોપનીયતા મુદ્દાઓને ડેટા વહેતા તરીકે મોડેલ કરી શકાય છે જ્યાં તે ન હોવું જોઈએ.
ડેટા સ્રોત અને ખતરનાક કોલ્સ નક્કી કરવા માટે વિશ્લેષકનું કામ ઘટાડવામાં આવે છે, જ્યાં મૂળ ડેટાનો ઉપયોગ ન થવો જોઈએ: પાર્સર ફંક્શન કોલ્સની સાંકળ દ્વારા ડેટાના પેસેજ પર નજર રાખે છે અને પ્રારંભિક ડેટાને કોડમાં સંભવિત જોખમી સ્થાનો સાથે જોડે છે.
MT માં હોવાથી, ડેટા પ્રવાહ આના દ્વારા વર્ણવી શકાય છે:
- સ્રોત: મૂળ બિંદુ. આ વપરાશકર્તા નિયંત્રિત શબ્દમાળા હોઈ શકે છે જે `Intent.getData` દ્વારા એપ્લિકેશનમાં પ્રવેશ કરે છે.
- સિંક: એક મુકામ. Android પર, આ `Log.w` અથવા` Runtime.exec` પર કોલ હોઈ શકે છે. ઉદાહરણ તરીકે, Intent.getData પરના ક callલમાંથી ડેટાને મોનિટર કરવા માટેનો સ્રોત માનવામાં આવે છે, અને Log.w અને Runtime.exec પરના ક callsલ્સને ખતરનાક ઉપયોગ ગણવામાં આવે છે.
મોટા કોડ બેઝમાં ઘણાં વિવિધ પ્રકારના સ્રોતો અને સંબંધિત રીસીવરો હોઈ શકે છે. અમે નિયમો નક્કી કરીને એમટીને ચોક્કસ પ્રવાહ બતાવવા માટે કહી શકીએ છીએ.
એક નિયમ સ્પષ્ટ કરી શકે છે, ઉદાહરણ તરીકે, આપણે ઈન્ટન્ટ રીડાયરેક્ટ (સમસ્યાઓ કે જે હુમલાખોરોને સંવેદનશીલ ડેટાને અટકાવવાની મંજૂરી આપે છે) શોધવા માંગીએ છીએ જે અમને "વપરાશકર્તા નિયંત્રિત" સ્રોતોથી "ઇરાદાના રીડાયરેક્ટ્સના સિંક સુધીના તમામ નિશાનો દર્શાવે છે.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તમે ચકાસી શકો છો નીચેની લીંક પર વિગતો.