Mariana Trench : Outil d'analyse de code fourni par Facebook
L'équipe de sécurité de Facebook a dévoilé Mariana Trench, un outil open-source qu'elle utilise en interne pour identifier les vulnérabilités des applications Android et Java, afin de réduire le risque de failles de sécurité et de confidentialité en production. Le fonctionnement de cet outil a déjà été testé et qualifié par les ingénieurs de sécurité de Facebook.
Selon Facebook, l'outil peut être personnalisé pour ne chasser que des vulnérabilités spécifiques, même dans de grandes bases de code, en définissant simplement des règles pour lui indiquer d'où viennent les données et où elles ne doivent pas aller. Il peut analyser de grandes lignes de code mobile afin d'identifier les failles potentielles dans les requêtes « pull ».
Les résultats produits par Mariana Trench peuvent être examinés et analysés à l'aide d'un outil de traitement autonome appelé Static Analysis Post Processor (SAPP), que Facebook a présenté pour la première fois au DefCon l'année dernière et qui a été conçu pour démontrer visuellement comment les données peuvent potentiellement circuler de la source au destinataire afin qu'il soit plus facile pour les experts d'évaluer rapidement s'ils sont d'accord ou non avec l'évaluation de l'outil.
En illustrant le flux de données étape par étape, SAPP permet aux ingénieurs en sécurité de parcourir facilement les chemins possibles. Cependant, il peut également regrouper les traces qui sont matériellement similaires, et permet aux ingénieurs de filtrer et de rechercher dans les résultats.
L'outil Mariana Trench est disponible sur Github suivant ce lien.
Pour plus de détails, Facebook a publié une documentation qui aidera les ingénieurs à se familiariser avec l'outil.