Mariana Trench, Falanqeeyaha koodhka furan ee Facebook ee furan

Darkcrizt

Daqiiqado 4

Facebook ayaa shaaca laga qaaday maalmo ka hor ayay soo saartay Falanqeeyaha maaliyadeed ee furan, Mariana Trench, kaas oo loogu talagalay in lagu aqoonsado dayacanka ku jira barnaamijyada Android iyo barnaamijyada Java.

At awoodda lagu falanqeeyo mashaariicda aan lahayn koodhadhka isha ayaa la bixiyaa, kaas oo kaliya koodhkii loogu talagalay mashiinka dalwaddii Dalvik loo heli karo. Faa'iido kale ayaa ah xawaaraha aad u sarreeya ee fulinta (falanqaynta dhowr milyan oo khad oo koodh ah waxay qaadataa qiyaastii 10 sekan), kaas oo kuu oggolaanaya inaad adeegsato Mariana Trench si aad u hubiso dhammaan isbeddelada la soo jeediyay markii la soo bandhigay.

Falanqeeyaha waxaa loo sameeyay qayb ka mid ah mashruuc si otomaatig ah loogu sameeyo habka dib -u -eegista koodhka isha codsiyada moobiilka ka socda Facebook, Instagram iyo Whatsapp.

Waxaan wadaagnaa faahfaahinta ku saabsan Mariana Trench (MT), oo ah aalad aan u isticmaalno inaan ku ogaano oo aan kaga hortagno khaladaadka amniga iyo asturnaanta ee barnaamijyada Android iyo Java. Iyada oo qayb ka ah dadaalkeenna si aan gacan uga geysanno kor u qaadista amniga iyada oo loo marayo dhismaha otomaatiga, waxaan dhowaan u furnay MT si aan u taageerno injineerada amniga ee Facebook iyo dhammaan warshadaha.

Maqaalkani waa kii saddexaad ee taxanaheennii qotada dheeraa ee aaladda falanqaynta maadiga ah iyo firfircoon ee aan ku kalsoon nahay. MT waa nidaamkii ugu dambeeyay, ka dib Zoncolan iyo Pysa, oo loo dhisay koodh Hack iyo Python siday u kala horreeyaan.

Qeybtii hore ee 2021, kalabar dhammaan nuglaanta barnaamijyada moobiilka ee Facebook ayaa la aqoonsaday iyadoo la adeegsanayo aaladaha falanqaynta otomaatiga ah. Koodhka Mariana Trench wuxuu si aad ah isugu xiran yahay mashaariicda kale ee Facebook, tusaale ahaan, hawlgalka kobcinta sumcadda Redex waxaa loo isticmaalaa in lagu falanqeeyo bytecode iyo maktabadda SPARTA waxaa loo adeegsadaa fasiraadda muuqaalka iyo barashada natiijooyinka.

Jilicsanaanta suurtagalka ah iyo arrimaha amniga waxaa lagu aqoonsadaa iyadoo la falanqeynayo socodka xogta inta lagu guda jiro fulinta codsiga, taas oo u oggolaanaysa in la garto xaaladaha taas oo xogta dibedda cayriin lagu farsameeyo dhismayaasha halista ah, sida weydiimaha SQL, hawlgallada faylka, iyo wicitaannada horseeda bilawga barnaamijyada dibadda.

MT waxaa loogu talagalay inay awood u yeelato inay baarto saldhigyada koodhka weyn ee mobilada isla markaana tilmaami karto dhibaatooyinka iman kara ee codsiyada jiidista ka hor intaanay gelin wax -soo -saarka. Waxaa loo abuuray iskaashi dhow oo dhex maray amniga Facebook iyo injineerada softiweerrada, kuwaas oo MT u tababara inay fiiriyaan xeerka oo ay falanqeeyaan sida xogtu u dhex marto. Falanqaynta qulqulka xogta ayaa faa'iido leh maxaa yeelay arrimo badan oo amniga iyo asturnaanta ah ayaa loo qaabayn karaa xog ku qulquleysa meeshii aysan ahayn.

Falanqeeyaha shaqadiisu waxay hoos u dhacaysaa go'aaminta ilaha xogta iyo wicitaanada halista ah, halkaas oo aan loo adeegsan xogta asalka ah: Falanqeeyaha wuxuu kormeeraa marin -u -helidda xogta iyada oo loo marayo silsiladda wicitaannada shaqada wuxuuna ku xiraa xogta bilowga ah meelaha halista ah ee koodka.

Tan iyo MT, socodka xogta waxaa lagu tilmaami karaa:

  • Xigasho: bar asal ah. Kani wuxuu noqon karaa xadhig isticmaale la kontoroolo oo geliya arjiga iyada oo loo marayo 'Intent.getData`.
  • Sink: meel loo socdo. On Android, tani waxay noqon kartaa wicitaan 'Log.w` ama` Runtime.exec`. Tusaale ahaan, xogta laga soo wacay Intent.getData waxaa loo tixgeliyaa inay tahay isha lagala socdo, wicitaanada Log.w iyo Runtime.exec waxaa loo tixgeliyaa adeegsiyo halis ah.

Saldhig weyn oo koodh wuxuu ka koobnaan karaa noocyo badan oo kala duwan oo ilaha ah iyo kuwa qaata. Waxaan u sheegi karnaa MT inuu na tuso qulqullo gaar ah annagoo qeexeyna xeerarka.

Xeer ayaa tilmaami kara, tusaale ahaan, inaan doonayno inaan helno tilmaamo ujeeddo leh (dhibaatooyin u oggolaanaya kuwa wax weerara inay dhexgalaan xog xasaasi ah) annagoo qeexeyna xeer ina tusaya dhammaan raadadka laga helay ilaha “isticmaalaha-gacanta ku haya” si loo quusiyo ”ujeeddooyinka ujeeddooyinka.

Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato, waad hubin kartaa faahfaahinta xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.