Esta semana Facebook dio a conocer su herramienta de análisis estático de código abierto empleada por sus equipos de ciberseguridad para la detección de posibles fallas de seguridad en apps Android y Java. Bautizada como Mariana Trench, esta herramienta es capaz de analizar millones de líneas de código en poco tiempo y así evitar que las fallas lleguen a los usuarios finales.
El gigante de las redes sociales asegura que sus equipos de seguridad han encontrado la mayoría de los errores corregidos en aplicaciones de la compañía usando Mariana Trench y otras herramientas similares.
Según el reporte, la herramienta trabaja analizando el flujo de información desde “fuentes”, que son datos sensibles del usuario como contraseñas o ubicaciones a “sumideros” (funciones o métodos que utilizan datos que se originan en fuentes). Mariana Trench detecta automáticamente estos problemas que podrían provocar severos problemas de seguridad.
La compañía comenta que, de forma predeterminada, Mariana Trench analiza el código de bytes dalvik y puede trabajar con o sin acceso al código fuente: “Un flujo de fuentes a sumideros puede indicar que las contraseñas de los usuarios pueden registrarse en un archivo, algo poco recomendable y que Mariana Trench detectará como un error de seguridad.”
Además, los investigadores pueden usar la herramienta para enfocarse en problemas de seguridad específicos, realizando algunos ajustes y agregando nuevas reglas para el análisis automático.
Mariana Trench no es la única herramienta en su tipo creada por Facebook, ya que anteriormente fueron lanzadas Pysa y Zoncolan, para el análisis de código Python y Hack. Estos desarrollos están disponibles en GitHub y en su propio sitio web: “Estas herramientas fueron creadas específicamente para detectar fallas en aplicaciones de Android. Existen diferencias en la aplicación de parches y la garantía de la adopción de actualizaciones de código entre aplicaciones móviles y web, por lo que requieren diferentes enfoques”, menciona el reporte de Facebook.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
