Mariana Trench, penganalisa kode statik sumber terbuka Facebook

Facebook diumumkeun sababaraha dinten ka pengker anjeunna ngaleupaskeun penganalisa statik sumber terbuka, Mariana Trench, anu dimaksudkeun pikeun ngaidentipikasi kerentanan dina aplikasi Android sareng program Java.

Di kamampuan analisa proyék tanpa kode sumber disayogikeun, anu ngan ukur bytecode pikeun mesin virtual Dalvik anu sayogi. Kauntungan sanésna nyaéta kagancangan eksekusi anu saé pisan (analisa sababaraha juta garis kode peryogi waktos 10 detik), anu ngamungkinkeun anjeun nganggo Mariana Trench pikeun mariksa sadaya parobihan anu diusulkeun nalika diwanohkeun.

Anu nganalisis dikembangkeun salaku bagian tina proyék pikeun ngajadikeun otomatis prosés marios kode sumber tina aplikasi mobile tina Facebook, Instagram sareng Whatsapp.

Kami bagikeun detil ngeunaan Mariana Trench (MT), alat anu kami gunakeun pikeun ngadeteksi sareng nyegah kasalahan kaamanan sareng privasi dina aplikasi Android sareng Java. Salaku bagian tina usaha urang pikeun ngabantosan kaamanan skala ngalangkungan otomatisasi, urang nembé muka MT pikeun ngadukung insinyur kaamanan dina Facebook sareng di panjuru industri.

Pos ieu anu katilu dina séri urang teuleum jero kana alat analisa statis sareng dinamis anu urang percanten. MT mangrupikeun sistem pangénggalna, nuturkeun Zoncolan sareng Pysa, diwangun masing-masing pikeun kode Hack sareng Python.

Dina satengah mimiti 2021, satengah tina sadaya kerentanan dina aplikasi mobile Facebook diidéntifikasi nganggo alat analisis otomatis. Kodeu Mariana Trench raket patalina sareng proyék Facebook anu sanés, contona, operasi pangoptimal bytecode Redex dianggo pikeun nganalisis bytecode sareng perpustakaan SPARTA dianggo pikeun interpretasi visual sareng kajian hasil. Analisis statis.

Poténsi kerentanan sareng masalah kaamanan diidentifikasi ku nganalisis aliran data nalika ngajalankeun aplikasi, anu ngamungkinkeun pikeun ngaidentipikasi kaayaan numana data éksternal atah diolah dina konstruksi anu bahaya, sapertos query SQL, operasi file, sareng telepon anu ngakibatkeun peluncuran program éksternal.

MT dirancang pikeun tiasa nyeken pangkalan kode sélulér ageung sareng nunjukkeun masalah poténsial dina pamundut narik sateuacan produksi. Éta didamel salaku hasil kolaborasi caket antara kaamanan Facebook sareng insinyur perangkat lunak, anu ngalatih MT pikeun ningali kode sareng nganalisis kumaha data ngalirkeunana. Nganalisis aliran data mangpaat kusabab seueur masalah kaamanan sareng privasi tiasa dimodelkeun salaku data anu ngalir dimana teu kedah.

Padamelan penganalisis diréduksi janten sumber sumber data sareng telepon bahaya, dimana data aslina henteu kedah dianggo: Parser ngawaskeun ngalirkeun data ngalangkungan ranté fungsi nelepon sareng ngahubungkeun data awal ka tempat anu berpotensi bahaya dina kode.

Kusabab di MT, aliran data tiasa dijelaskeun ku:

  • Sumber: titik asal. Ieu tiasa janten tali anu dikawasa ku pangguna anu ngalebetkeun aplikasi ngalangkungan `Intent.getData`.
  • Tilelep: tujuan. Dina Android, ieu tiasa janten panggero pikeun `Log.w` atanapi` Runtime.exec`. Salaku conto, data tina telepon kana Intent.getData dianggap sumber pikeun ngawas, sareng telepon ka Log.w sareng Runtime.exec dianggap kagunaan bahaya.

Dasar kode anu ageung tiasa ngandung seueur jinis sumber sareng panarima anu saluyu. Urang tiasa ngawartosan MT pikeun nunjukkeun ka kami aliran khusus ku nangtoskeun aturan.

Hiji aturan tiasa nangtoskeun, salaku conto, yén kami hoyong mendakan alihan anu dihaja (masalah anu ngamungkinkeun panyerang ngahalangan data sénsitip) ku nangtoskeun aturan anu nunjukkeun yén urang sadayana ngambah tina sumber "dikawasa ku pangguna" kana tilelep "alihan niat.

tungtungna upami anjeun resep terang langkung seueur perkawis éta, anjeun tiasa parios ka detil dina tautan ieu.


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun.

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.

bool (leres)