Facebook predstavený pred niekoľkými dňami to vyšlo statický analyzátor s otvoreným zdrojovým kódom, Mariana Trench, ktorá je určená na identifikáciu zraniteľností aplikácií pre Android a programov Java.
O je k dispozícii schopnosť analyzovať projekty bez zdrojových kódov, pre ktorý je k dispozícii iba bajtový kód pre virtuálny počítač Dalvik. Ďalšou výhodou je veľmi vysoká rýchlosť vykonávania (analýza niekoľkých miliónov riadkov kódu trvá asi 10 sekúnd), ktorá vám umožňuje použiť Mariana Trench na kontrolu všetkých navrhovaných zmien hneď po ich zavedení.
Analyzátor bol vyvinutý ako súčasť projektu na automatizáciu procesu kontroly kódu zdroj mobilných aplikácií z Facebooku, Instagramu a Whatsappu.
Zdieľame podrobnosti o nástroji Mariana Trench (MT), nástroji, ktorý používame na zisťovanie a predchádzanie chybám zabezpečenia a ochrany osobných údajov v aplikáciách pre Android a Java. V rámci nášho úsilia pomôcť rozšíriť zabezpečenie prostredníctvom automatizácie budov sme nedávno otvorili MT na podporu inžinierov zabezpečenia na Facebooku a v celom odvetví.
Tento príspevok je tretím v našej sérii hlbokých ponorov do nástrojov statickej a dynamickej analýzy, ktorým dôverujeme. MT je najnovší systém, ktorý nadväzuje na spoločnosti Zoncolan a Pysa, vytvorený pre kód Hack a Python.
V prvej polovici roku 2021 bola polovica všetkých zraniteľností v mobilných aplikáciách na Facebooku identifikovaná pomocou nástrojov automatickej analýzy. Kód Mariana Trench je úzko prepojený s inými projektmi Facebooku, napríklad operácia optimalizátora bajtového kódu Redex sa používa na analýzu bytecode a knižnica SPARTA sa používa na vizuálnu interpretáciu a štúdium výsledkov. Statická analýza.
Potenciálne zraniteľné miesta a problémy so zabezpečením sa identifikujú analyzovaním tokov údajov počas vykonávania aplikácie, čo umožňuje identifikovať situácie v ktorom sú nespracované externé údaje spracovávané v nebezpečných konštrukciách, ako sú dotazy SQL, operácie so súbormi a hovory, ktoré vedú k spusteniu externých programov.
MT je navrhnutý tak, aby bol schopný skenovať veľké základne mobilného kódu a určiť potenciálne problémy v požiadavkách na stiahnutie ešte pred ich uvedením do výroby. Bol vytvorený ako dôsledok úzkej spolupráce medzi bezpečnostnými a softvérovými inžiniermi Facebooku, ktorí školia MT, aby sa pozrel na kód a analyzoval, ako cez ne pretekajú údaje. Analýza tokov údajov je užitočná, pretože mnohé problémy s bezpečnosťou a ochranou súkromia je možné modelovať tak, ako keby údaje prúdili tam, kde by nemali.
Úloha analyzátora sa obmedzuje na určovanie zdrojov údajov a nebezpečných hovorov, kde by sa nemali používať pôvodné údaje: Analyzátor monitoruje priechod údajov reťazcom volaní funkcií a pripája počiatočné údaje k potenciálne nebezpečným miestam v kóde.
Keďže v MT je tok údajov možné opísať:
- Zdroj: miesto pôvodu. Môže to byť reťazec ovládaný používateľom, ktorý vstupuje do aplikácie prostredníctvom súboru „Intent.getData`.
- Drez: cieľ. V systéme Android to môže byť volanie na „Log.w` alebo` Runtime.exec`. Napríklad údaje z volania na Intent.getData sú považované za zdroj na monitorovanie a volania na Log.w a Runtime.exec sú považované za nebezpečné použitia.
Rozsiahla základňa kódu môže obsahovať mnoho rôznych typov zdrojov a zodpovedajúcich prijímačov. Definovaním pravidiel môžeme MT povedať, aby nám ukázal konkrétne toky.
Pravidlo môže napríklad špecifikovať, že chceme nájsť presmerovania zámerov (problémy, ktoré útočníkom umožňujú zachytiť citlivé údaje) definovaním pravidla, ktoré nám ukazuje všetky stopy od zdrojov „kontrolovaných používateľmi“ až po „presmerovania“ zámerov.
Konečne ak máte záujem dozvedieť sa o tom viac, môžete skontrolovať podrobnosti v nasledujúcom odkaze.