मारियाना ट्रेंच, फेसबुक का ओपन सोर्स स्टैटिक कोड एनालाइजर

फेसबुक का अनावरण किया कुछ दिन पहले उन्होंने रिहा किया खुला स्रोत स्थैतिक विश्लेषक, मारियाना ट्रेंच, जिसका उद्देश्य एंड्रॉइड एप्लिकेशन और जावा प्रोग्राम में कमजोरियों की पहचान करना है।

पर स्रोत कोड के बिना परियोजनाओं का विश्लेषण करने की क्षमता प्रदान की जाती है, जिसके लिए केवल Dalvik वर्चुअल मशीन के लिए बायटेकोड उपलब्ध है। एक अन्य लाभ निष्पादन की बहुत उच्च गति है (कोड की कई मिलियन लाइनों के विश्लेषण में लगभग 10 सेकंड लगते हैं), जो आपको सभी प्रस्तावित परिवर्तनों को पेश करने के लिए मारियाना ट्रेंच का उपयोग करने की अनुमति देता है।

विश्लेषक कोड समीक्षा प्रक्रिया को स्वचालित करने के लिए एक परियोजना के हिस्से के रूप में विकसित किया गया था मोबाइल एप्लिकेशन का स्रोत फेसबुक, इंस्टाग्राम और व्हाट्सएप के।

हम मारियाना ट्रेंच (एमटी) के बारे में विवरण साझा करते हैं, एक उपकरण जिसका उपयोग हम एंड्रॉइड और जावा एप्लिकेशन में सुरक्षा और गोपनीयता त्रुटियों का पता लगाने और उन्हें रोकने के लिए करते हैं। बिल्डिंग ऑटोमेशन के माध्यम से सुरक्षा को बढ़ाने में मदद करने के हमारे प्रयास के हिस्से के रूप में, हमने हाल ही में फेसबुक और पूरे उद्योग में सुरक्षा इंजीनियरों का समर्थन करने के लिए एमटी खोला है।

यह पोस्ट हमारे द्वारा भरोसा किए जाने वाले स्थिर और गतिशील विश्लेषण टूल में गहरी गोता लगाने की हमारी श्रृंखला में तीसरा है। एमटी नवीनतम प्रणाली है, जो ज़ोनकोलन और पायसा के बाद क्रमशः हैक और पायथन कोड के लिए बनाई गई है।

2021 की पहली छमाही में, स्वचालित विश्लेषण टूल का उपयोग करके फेसबुक मोबाइल एप्लिकेशन में सभी कमजोरियों में से आधे की पहचान की गई थी। मारियाना ट्रेंच का कोड अन्य फेसबुक परियोजनाओं के साथ घनिष्ठ रूप से जुड़ा हुआ है, उदाहरण के लिए, रेडेक्स बाइटकोड ऑप्टिमाइज़र ऑपरेशन का उपयोग बाइटकोड का विश्लेषण करने के लिए किया जाता है और स्पार्टा लाइब्रेरी का उपयोग दृश्य व्याख्या और परिणामों के अध्ययन के लिए किया जाता है। स्थिर विश्लेषण।

डेटा प्रवाह का विश्लेषण करके संभावित कमजोरियों और सुरक्षा मुद्दों की पहचान की जाती है आवेदन के निष्पादन के दौरान, जो स्थितियों की पहचान करने की अनुमति देता है जिसमें अपरिष्कृत बाहरी डेटा को खतरनाक निर्माणों में संसाधित किया जाता है, जैसे कि SQL क्वेरी, फ़ाइल संचालन, और कॉल जो बाहरी कार्यक्रमों के लॉन्च की ओर ले जाते हैं।

एमटी को बड़े मोबाइल कोड बेस को स्कैन करने और उत्पादन में जाने से पहले पुल अनुरोधों में संभावित समस्याओं को इंगित करने में सक्षम होने के लिए डिज़ाइन किया गया है। इसे फेसबुक के सुरक्षा और सॉफ्टवेयर इंजीनियरों के बीच घनिष्ठ सहयोग के परिणामस्वरूप बनाया गया था, जो एमटी को कोड को देखने के लिए प्रशिक्षित करते हैं और विश्लेषण करते हैं कि डेटा कैसे प्रवाहित होता है। डेटा प्रवाह का विश्लेषण करना उपयोगी है क्योंकि कई सुरक्षा और गोपनीयता मुद्दों को डेटा प्रवाह के रूप में मॉडल किया जा सकता है जहां इसे नहीं होना चाहिए।

डेटा स्रोतों और खतरनाक कॉलों को निर्धारित करने के लिए विश्लेषक का काम कम हो गया है, जहां मूल डेटा का उपयोग नहीं किया जाना चाहिए: पार्सर फ़ंक्शन कॉल की श्रृंखला के माध्यम से डेटा के पारित होने की निगरानी करता है और प्रारंभिक डेटा को कोड में संभावित खतरनाक स्थानों से जोड़ता है।

चूंकि एमटी में, डेटा प्रवाह का वर्णन इस प्रकार किया जा सकता है:

• स्रोत: उत्पत्ति का एक बिंदु। यह 'Intent.getData' के माध्यम से एप्लिकेशन में प्रवेश करने वाले उपयोगकर्ता द्वारा नियंत्रित एक स्ट्रिंग हो सकती है।
• सिंक: एक गंतव्य। Android पर, यह `Log.w` या` Runtime.exec` के लिए एक कॉल हो सकता है। उदाहरण के लिए, Intent.getData पर कॉल से डेटा को मॉनिटर करने का स्रोत माना जाता है, और Log.w और Runtime.exec पर कॉल को खतरनाक उपयोग माना जाता है।

एक बड़े कोड बेस में कई अलग-अलग प्रकार के स्रोत और संबंधित रिसीवर हो सकते हैं। हम एमटी को नियमों को परिभाषित करके हमें विशिष्ट प्रवाह दिखाने के लिए कह सकते हैं।

उदाहरण के लिए, एक नियम निर्दिष्ट कर सकता है कि हम एक ऐसे नियम को परिभाषित करके इंटेंट रीडायरेक्ट (समस्याएं जो हमलावरों को संवेदनशील डेटा को इंटरसेप्ट करने की अनुमति देते हैं) खोजना चाहते हैं जो हमें "उपयोगकर्ता-नियंत्रित" स्रोतों से "इरादे के रीडायरेक्ट" के सिंक तक सभी निशान दिखाता है।

अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप जाँच कर सकते हैं निम्नलिखित लिंक में विवरण.