Facebook açıklandı birkaç gün önce serbest bırakıldı açık kaynaklı statik analizör, Mariana Trench, Android uygulamalarındaki ve Java programlarındaki güvenlik açıklarını belirlemeye yöneliktir.
Şurada: kaynak kodları olmadan projeleri analiz etme yeteneği sağlanır, bunun için yalnızca Dalvik sanal makinesi için bayt kodu mevcuttur. Diğer bir avantaj, çok yüksek yürütme hızıdır (birkaç milyon kod satırının analizi yaklaşık 10 saniye sürer), bu da Mariana Trench'i önerilen tüm değişiklikleri tanıtıldıkları anda kontrol etmek için kullanmanıza olanak tanır.
analizör kod inceleme sürecini otomatikleştirmek için bir projenin parçası olarak geliştirildi mobil uygulamaların kaynağı Facebook, Instagram ve Whatsapp'tan.
Android ve Java uygulamalarında güvenlik ve gizlilik hatalarını tespit etmek ve önlemek için kullandığımız bir araç olan Mariana Trench (MT) hakkında detayları paylaşıyoruz. Bina otomasyonu yoluyla güvenliği ölçeklendirmeye yardımcı olma çabamızın bir parçası olarak, yakın zamanda Facebook'ta ve sektör genelinde güvenlik mühendislerini desteklemek için MT'yi açtık.
Bu gönderi, güvendiğimiz statik ve dinamik analiz araçlarına yönelik derin inceleme serimizin üçüncüsü. MT, Zoncolan ve Pysa'dan sonra sırasıyla Hack ve Python kodu için oluşturulmuş en son sistemdir.
2021'in ilk yarısında, Facebook mobil uygulamalarındaki tüm güvenlik açıklarının yarısı otomatik analiz araçları kullanılarak tespit edildi. Mariana Trench'in kodu, diğer Facebook projeleriyle yakından iç içedir, örneğin, bayt kodunu analiz etmek için Redex bayt kodu optimize edici işlemi kullanılır ve sonuçların görsel olarak yorumlanması ve incelenmesi için SPARTA kitaplığı kullanılır. statik analiz.
Potansiyel güvenlik açıkları ve güvenlik sorunları, veri akışları analiz edilerek belirlenir Uygulamanın yürütülmesi sırasında, durumları tanımlamaya izin verir ham dış verilerin SQL sorguları, dosya işlemleri ve harici programların başlatılmasına yol açan çağrılar gibi tehlikeli yapılarda işlendiği yer.
MT, büyük mobil kod tabanlarını tarayabilmek ve üretime geçmeden önce çekme taleplerindeki olası sorunları tespit edebilmek için tasarlanmıştır. Facebook'un güvenlik ve yazılım mühendisleri arasındaki yakın işbirliğinin bir sonucu olarak, MT'yi koda bakmak ve verilerin içinden nasıl aktığını analiz etmek için eğiten yazılım mühendisleri arasındaki yakın işbirliğinin bir sonucu olarak oluşturuldu. Birçok güvenlik ve gizlilik sorunu, veri akışının olmaması gereken yerde olarak modellenebildiğinden, veri akışlarını analiz etmek faydalıdır.
Analizörün işi, veri kaynaklarını ve tehlikeli aramaları belirlemeye indirgenir, orijinal verilerin kullanılmaması gereken durumlarda: Ayrıştırıcı, işlev çağrıları zinciri boyunca verilerin geçişini izler ve ilk verileri koddaki potansiyel olarak tehlikeli yerlere bağlar.
MT'den beri, bir veri akışı şu şekilde tanımlanabilir:
- Kaynak: bir başlangıç noktası. Bu, `Intent.getData` aracılığıyla uygulamaya giren kullanıcı tarafından kontrol edilen bir dize olabilir.
- Lavabo: bir varış noktası. Android'de bu, "Log.w" veya "Runtime.exec" çağrısı olabilir. Örneğin, Intent.getData'ya yapılan bir çağrıdan gelen veriler, izlenecek bir kaynak olarak kabul edilir ve Log.w ve Runtime.exec'e yapılan çağrılar, tehlikeli kullanımlar olarak kabul edilir.
Büyük bir kod tabanı, birçok farklı türde kaynak ve ilgili alıcı içerebilir. MT'ye kurallar tanımlayarak bize belirli akışları göstermesini söyleyebiliriz.
Bir kural, örneğin, "kullanıcı tarafından kontrol edilen" kaynaklardan bir "niyet yönlendirmeleri havuzuna" kadar tüm izleri bize gösteren bir kural tanımlayarak, niyet yönlendirmelerini (saldırganların hassas verileri ele geçirmesine izin veren sorunlar) bulmak istediğimizi belirtebilir.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsan, kontrol edebilirsiniz detaylar aşağıdaki linkte.