Mariana Trench, Facebookning ochiq kodli statik kod analizatori

Facebook ochildi bir necha kun oldin u ozodlikka chiqdi ochiq manbali statik analizator, Mariana Xandaq, Android ilovalari va Java dasturlarining zaifliklarini aniqlashga mo'ljallangan.

Da loyihalarni manba kodisiz tahlil qilish qobiliyati ta'minlangan, buning uchun faqat Dalvik virtual mashinasining bayt kodi mavjud. Yana bir afzallik - bu bajarilishning juda yuqori tezligi (kodning bir necha million satrini tahlil qilish taxminan 10 soniya davom etadi), bu sizga Mariana Xandagi yordamida barcha taklif qilingan o'zgarishlarni kiritishda tekshirish imkonini beradi.

Analizator kodni ko'rib chiqish jarayonini avtomatlashtirish loyihasi doirasida ishlab chiqilgan mobil ilovalar manbai Facebook, Instagram va Whatsapp -dan.

Biz Android va Java ilovalarida xavfsizlik va maxfiylik xatolarini aniqlash va oldini olish uchun foydalanadigan Mariana Trench (MT) tafsilotlari bilan bo'lishamiz. Binolarni avtomatlashtirish orqali xavfsizlikni kengaytirishga ko'maklashish harakatining bir qismi sifatida biz yaqinda Facebookda va butun sohada xavfsizlik bo'yicha muhandislarni qo'llab -quvvatlash uchun MT -ni ochdik.

Bu post biz ishonadigan statik va dinamik tahlil vositalariga chuqur sho'ng'ish seriyamizdagi uchinchi. MT - mos ravishda Hack va Python kodlari uchun yaratilgan Zoncolan va Pysa -dan keyingi eng yangi tizim.

2021 yilning birinchi yarmida Facebook mobil ilovalaridagi barcha zaifliklarning yarmi avtomatlashtirilgan tahlil vositalari yordamida aniqlandi. Mariana Trench kodi Facebookning boshqa loyihalari bilan chambarchas bog'liq, masalan, bayt kodni tahlil qilish uchun Redex bytecode optimizer operatsiyasi, vizual talqin qilish va natijalarni o'rganish uchun SPARTA kutubxonasi ishlatiladi. Statik tahlil.

Potentsial zaifliklar va xavfsizlik muammolari ma'lumotlar oqimini tahlil qilish orqali aniqlanadi arizani bajarish paytida, vaziyatlarni aniqlash imkonini beradi bunda tashqi tashqi ma'lumotlar ishga tushishiga olib keladigan SQL so'rovlari, fayl operatsiyalari va qo'ng'iroqlar kabi xavfli tashqi konstruktsiyalarda ishlov beriladigan tashqi ma'lumotlar.

MT katta mobil kod bazalarini skanerlashi va ishlab chiqarishni boshlashdan oldin tortishish so'rovlarida yuzaga kelishi mumkin bo'lgan muammolarni aniqlashi uchun mo'ljallangan. U Facebook xavfsizligi va dasturiy ta'minot muhandislari o'rtasidagi yaqin hamkorlik natijasida yaratilgan, ular MTga kodni ko'rib chiqishni o'rgatadi va u orqali ma'lumotlar qanday oqishini tahlil qiladi. Ma'lumotlar oqimini tahlil qilish foydalidir, chunki xavfsizlik va maxfiylik bilan bog'liq ko'plab muammolarni, kerak bo'lmagan joyda, ma'lumot oqimi sifatida modellashtirish mumkin.

Analizatorning vazifasi ma'lumot manbalari va xavfli qo'ng'iroqlarni aniqlash, bu erda asl ma'lumotlar ishlatilmasligi kerak: tahlilchi funktsiya qo'ng'iroqlari zanjiri orqali ma'lumotlarning o'tishini kuzatadi va dastlabki ma'lumotlarni kodning potentsial xavfli joylari bilan bog'laydi.

MTda ma'lumotlar oqimini quyidagicha ta'riflash mumkin:

  • Manba: kelib chiqish nuqtasi. Bu "Intent.getData" orqali dasturga kiruvchi foydalanuvchi tomonidan boshqariladigan satr bo'lishi mumkin.
  • Cho'kish: manzil. Android -da, bu "Log.w" yoki "Runtime.exec" ga qo'ng'iroq bo'lishi mumkin. Masalan, Intent.getData -ga qo'ng'iroqdan olingan ma'lumotlar kuzatiladigan manba, Log.w va Runtime.exec -ga qo'ng'iroqlar esa xavfli foydalanish hisoblanadi.

Katta kod bazasida har xil turdagi manbalar va tegishli qabul qiluvchilar bo'lishi mumkin. Biz MTga qoidalarni aniqlash orqali bizga aniq oqimlarni ko'rsatishini aytishimiz mumkin.

Qoidalar, masalan, "foydalanuvchi tomonidan boshqariladigan" manbalardan "niyatlarni qayta yo'naltirish" cho'kishigacha bo'lgan barcha izlarni ko'rsatadigan qoidani belgilab, niyatni qayta yo'naltirishlarni (tajovuzkorlarga maxfiy ma'lumotlarni ushlab qolish imkonini beradigan muammolar) topishni xohlayotganimizni belgilashi mumkin.

FINALMENTE agar siz bu haqda ko'proq bilishni xohlasangiz, siz tekshirishingiz mumkin tafsilotlar quyidagi havolada.


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi. Kerakli joylar bilan belgilangan *

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.