फेसबुक अनावरण केले काही दिवसांपूर्वी त्याने सोडले मुक्त स्त्रोत स्थिर विश्लेषक, मारियाना ट्रेंच, जे Android अनुप्रयोग आणि जावा प्रोग्राममधील असुरक्षा ओळखण्यासाठी आहे.
येथे स्त्रोत कोडशिवाय प्रकल्पांचे विश्लेषण करण्याची क्षमता प्रदान केली आहे, ज्यासाठी फक्त डाल्विक व्हर्च्युअल मशीनसाठी बाइटकोड उपलब्ध आहे. आणखी एक फायदा म्हणजे अंमलबजावणीची उच्च गती (कोडच्या कित्येक दशलक्ष ओळींचे विश्लेषण सुमारे 10 सेकंद घेते), जे आपल्याला प्रस्तावित बदल सादर करताना मारियाना ट्रेंच वापरण्याची परवानगी देते.
विश्लेषक कोड पुनरावलोकन प्रक्रिया स्वयंचलित करण्यासाठी प्रकल्पाचा भाग म्हणून विकसित केले गेले मोबाइल अनुप्रयोगांचे स्रोत Facebook, Instagram आणि Whatsapp वरून.
आम्ही मारियाना ट्रेंच (एमटी) बद्दल तपशील सामायिक करतो, जे आम्ही Android आणि जावा अनुप्रयोगांमध्ये सुरक्षा आणि गोपनीयता त्रुटी शोधण्यासाठी आणि प्रतिबंध करण्यासाठी वापरतो. बिल्डिंग ऑटोमेशनद्वारे सुरक्षा वाढवण्याच्या आमच्या प्रयत्नांचा भाग म्हणून, आम्ही अलीकडेच फेसबुक आणि संपूर्ण उद्योगात सुरक्षा अभियंत्यांना समर्थन देण्यासाठी एमटी उघडले.
आमच्या पोस्टवर आमच्या विश्वास असलेल्या स्थिर आणि गतिशील विश्लेषण साधनांमध्ये खोलवर जाण्याच्या मालिकेतील हे तिसरे आहे. एमटी ही झोनकोलन आणि पायसा खालील अनुक्रमे हॅक आणि पायथन कोडसाठी तयार केलेली नवीनतम प्रणाली आहे.
2021 च्या पहिल्या सहामाहीत, स्वयंचलित विश्लेषण साधनांचा वापर करून फेसबुक मोबाईल अॅप्लिकेशन्समधील अर्ध्या असुरक्षा ओळखल्या गेल्या. मारियाना ट्रेंचचा कोड इतर फेसबुक प्रकल्पांशी जवळून जोडलेला आहे, उदाहरणार्थ, बाइटकोडचे विश्लेषण करण्यासाठी रेडेक्स बाइटकोड ऑप्टिमायझर ऑपरेशनचा वापर केला जातो आणि स्पार्टा लायब्ररी व्हिज्युअल स्पष्टीकरण आणि परिणामांच्या अभ्यासासाठी वापरली जाते. स्थिर विश्लेषण.
डेटा प्रवाहाचे विश्लेषण करून संभाव्य असुरक्षा आणि सुरक्षा समस्या ओळखल्या जातात अर्जाच्या अंमलबजावणी दरम्यान, जे परिस्थिती ओळखण्यास परवानगी देते ज्यामध्ये एसक्यूएल क्वेरी, फाईल ऑपरेशन्स आणि बाह्य प्रोग्रामच्या प्रक्षेपणास कारणीभूत असणाऱ्या धोकादायक रचनांमध्ये कच्चा बाह्य डेटा प्रक्रिया केला जातो.
MT हे मोबाईल कोड बेस स्कॅन करण्यास सक्षम होण्यासाठी आणि संभाव्य समस्यांना पुल विनंत्यांमध्ये उत्पादन करण्यापूर्वी ध्वजांकित करण्यास सक्षम करण्यासाठी डिझाइन केले आहे. हे फेसबुकच्या सुरक्षा आणि सॉफ्टवेअर इंजिनिअर्स यांच्या जवळच्या सहकार्यामुळे तयार केले गेले, जे एमटीला कोड पाहण्यासाठी आणि त्यातून डेटा कसा वाहतो याचे विश्लेषण करण्यासाठी प्रशिक्षण देतात. डेटा प्रवाहाचे विश्लेषण करणे उपयुक्त आहे कारण बऱ्याच सुरक्षा आणि गोपनीयतेचे मुद्दे डेटा प्रवाहित केले जाऊ शकतात जेथे ते नसावे.
डेटा स्त्रोत आणि धोकादायक कॉल निश्चित करण्यासाठी विश्लेषकाचे काम कमी केले जाते, जिथे मूळ डेटा वापरला जाऊ नये: पार्सर फंक्शन कॉलच्या साखळीद्वारे डेटा पास होण्याचे निरीक्षण करतो आणि कोडमधील संभाव्य धोकादायक ठिकाणांसह प्रारंभिक डेटा कनेक्ट करतो.
एमटी मध्ये असल्याने, डेटा प्रवाहाचे वर्णन केले जाऊ शकते:
- स्रोत: मूळ बिंदू. वापरकर्त्याने `Intent.getData` द्वारे अनुप्रयोग प्रविष्ट करून नियंत्रित केलेली ही स्ट्रिंग असू शकते.
- सिंक: एक गंतव्य. Android वर, हा `Log.w` किंवा` Runtime.exec` वर कॉल असू शकतो. उदाहरणार्थ, कॉलवरून Intent.getData ला डेटा मॉनिटर करण्याचे स्रोत मानले जाते, आणि Log.w आणि Runtime.exec वर कॉल करणे धोकादायक वापर मानले जाते.
मोठ्या कोड बेसमध्ये अनेक प्रकारचे स्रोत आणि संबंधित रिसीव्हर्स असू शकतात. आम्ही एमटीला नियम ठरवून आम्हाला विशिष्ट प्रवाह दाखवण्यास सांगू शकतो.
एक नियम निर्दिष्ट करू शकतो, उदाहरणार्थ, आम्हाला हेतू पुनर्निर्देशन (आक्रमणकर्त्यांना संवेदनशील डेटामध्ये अडथळा आणण्याची परवानगी देणारी समस्या) शोधायचा आहे जो आम्हाला "वापरकर्त्याद्वारे नियंत्रित" स्त्रोतांपासून "हेतूंच्या पुनर्निर्देशन" च्या बुडण्यापर्यंत सर्व ट्रेस दर्शवतो.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण हे तपासू शकता पुढील लिंकवर तपशील.