Facebook anunció el miércoles que es Mariana Trench de código abierto, una plataforma de análisis estático basada en Android que la empresa utiliza para detectar y prevenir vulnerabilidades de seguridad y privacidad en aplicaciones de sistemas operativos móviles a gran escala.

«[Mariana Trench] está diseñado para poder escanear grandes bases de códigos móviles e identificar posibles problemas en las solicitudes de recuperación antes de que entren en producción ”, dijo el gigante de la tecnología social Menlo Park.

En resumen, la herramienta permite a los desarrolladores crear reglas para diferentes flujos de datos para buscar en la base del código y detectar problemas potenciales, por ejemplo, errores de intención de redirección que podrían conducir a la fuga de datos confidenciales o incrustar vulnerabilidades que permitirían a los adversarios incrustar código arbitrario. límites de donde los datos proporcionados por el usuario que ingresan a la aplicación pueden provenir (fuente) y fluir hacia (sumidero), como métodos que pueden ejecutar código y recuperar o interactuar con los datos del usuario.

Los flujos de datos que violan las reglas se devuelven al ingeniero de seguridad o al ingeniero de software que realizó la solicitud de cambio.

El gigante de las redes sociales dijo que más del 50% de las vulnerabilidades encontradas en toda su familia de aplicaciones, incluidas Facebook, Instagram y WhatsApp, se encontraron utilizando herramientas automatizadas. Mariana Trench es también el tercer servicio que tiene la empresa después de Zoncolan y Pysa, cada uno dirigido a los lenguajes de programación Hack y Python.

El desarrollo también sigue pasos similares de GitHub, propiedad de Microsoft, que adquirió Semmle y lanzó un laboratorio de seguridad en 2019 para proteger el software de código abierto y, además, poner a disposición del público de forma gratuita herramientas de análisis semántico como CodeQL para detectar vulnerabilidades. código disponible.

«Existen diferencias entre las aplicaciones móviles y web para aplicar parches y garantizar que se reciban actualizaciones de código, por lo que requieren enfoques diferentes», dijo la compañía.

«Si bien el código del lado del servidor para las aplicaciones web se puede actualizar casi de inmediato, mitigar una falla de seguridad en una aplicación de Android depende de que cada usuario actualice la aplicación en el dispositivo que posee de manera oportuna. Esto lo hace mucho más importante para cualquier aplicación. desarrolladores para implementar sistemas que ayuden a evitar que las vulnerabilidades lleguen a las versiones móviles siempre que sea posible».

Se puede acceder a Mariana Trench a través de GitHub y Facebook también ha lanzado un paquete Python en el repositorio PyPi.