Facebook เปิดโอเพ่นซอร์สเครื่องมือช่วยบั๊กของแอปบนแอนดรอยด์ ‘Mariana Trench’

เครื่องมือใหม่ที่ Facebook แจกออกมาจะช่วยให้วิศวกรซอฟต์แวร์สามารถนำไปใช้เพื่อตรวจสอบแอปพลิเคชันบนแอนดรอยด์หรือ Java ได้

Credit: ShutterStock.com

Mariana Trench ตั้งชื่อตามรอยแยกที่ลึกที่สุดในมหาสมุทร โดยเป็นเครื่องมือตัวที่สามแล้วที่ช่วยเรื่อง static and dynamic analysis จาก Facebook ต่อจาก Zoncolan (ปี 2019) และ Pysa (ปี 2021 สำหรับโค้ด Python) โดยเครื่องมือใหม่นี้จะมีการวิเคราะห์ด้วย ‘dalvik bytecode’ ที่ไม่จำเป็นต้องเข้าถึงซอร์สโค้ด

Mariana Trench เป็นเครื่องสำหรับทำ Static Code Analysis ซึ่งทีมงาน Facebook ได้ออกแบบมาสำหรับแอปพลิเคชัน Android และ Java โดยเฉพาะ รวมถึงสามารถรองรับโค้ดขนาดใหญ่ได้ถึงหลัก 10 ล้านบรรทัด โดยทีมงานคุยว่าหลังจากที่ทดสอบกับแอปภายในบริษัทแล้ว ตรวจพบบั๊กเพิ่มได้ถึง 50% เทียบกับการใช้เครื่องมือลักษณะคล้ายกัน

ความจริงแล้วไอเดียเบื้องหลัง คือการใช้เครื่องมือเพื่อวิเคราะห์การไหลของข้อมูลจากต้นทาง(Source) เช่น รหัสผ่านหรือพิกัด ไปยังปลายทาง (Sinks) หรือฟังก์ชันและ Method ที่เกี่ยวข้องกับการใช้ข้อมูล นั่นหมายความว่าจะเผยให้เห็นถึงปัญหาด้าน Privacy และ Security ในแอปได้ นอกจากนี้ผู้ใช้งานยังสามารถปรับแต่งสร้าง Rule และโมเดลเข้าไปเองเพื่อตรวจจับข้อมูลที่สนใจได้

ผู้สนใจสามารถศึกษาเพิ่มเติมได้ที่ 

GitHub : https://github.com/facebook/mariana-trench/

Tutorial Website : https://mariana-tren.ch/

ที่มา : https://www.bleepingcomputer.com/news/security/facebook-open-sources-tool-to-find-android-app-security-flaws/ และ https://www.bleepingcomputer.com/news/security/facebook-open-sources-tool-to-find-android-app-security-flaws/

from:https://www.techtalkthai.com/facebook-opensources-mariana-trench-static-code-analysis-tool-for-android-app/