ภาษาการเขียนโปรแกรม Rust เป็นกุญแจสำคัญที่ทำให้ระบบปฏิบัติการ Android ปลอดภัยยิ่งขึ้น วิศวกรของ Google กล่าว
En una publicación de blog (se abre en una nueva pestaña) publicada por el ingeniero de seguridad de Android Jeffrey Vander Stoep, Googler afirma que la cantidad de vulnerabilidades de memoria graves ha disminuido significativamente en los últimos tres años y sugiere que todo esto es causado por el sistema operativo. alejándose de la memoria insegura. lenguajes de programación, C y C++.
Hace tres años, la mayoría (65 %) de los errores de Android eran errores de seguridad de memoria de gravedad alta o crítica (piense en errores de lectura y escritura fuera de los límites, por ejemplo). Desde entonces, Google escribe regularmente nuevo código Rust y lo agrega a Android (en lugar de simplemente mejorar el código existente). Ahora, la cantidad de fallas de este tipo ha disminuido drásticamente y ya no son el mayor problema que afecta al sistema operativo móvil.
ช่องโหว่ที่มีความรุนแรงน้อยกว่าในค่าคงที่
“ตั้งแต่ปี 2019 ถึง 2022 จำนวนช่องโหว่ด้านความปลอดภัยของหน่วยความจำต่อปีลดลงจาก 223 เป็น 85 รายการ” Vander Stoep กล่าว
Con Android 12 (lanzado a principios de octubre de 2021), el sistema operativo se convirtió en un producto Rust-first, dijo. Y aunque los errores de seguridad de la memoria han disminuido gracias al uso del nuevo lenguaje de programación, otras formas de vulnerabilidades se han mantenido estables con alrededor de 20 nuevas fallas descubiertas cada mes. Sin embargo, estas fallas no son tan graves como los errores de seguridad de la memoria.
Pero eso no significa que Google esté abandonando C y C++ por completo. La empresa continuará invirtiendo en herramientas para escribir código C y C++ más seguro, dijo Vander Stoep, mencionando el asignador reforzado Scudo, HWASAN, GWP-ASAN y KFENCE en dispositivos Android (se abre en una nueva pestaña). También dijo que Google ha aumentado su uso de fuzzing.
Hasta ahora, Rust ha sido bastante confiable, pero Vander Stoep sabe que eso podría cambiar en el futuro: hasta la fecha, no se han descubierto vulnerabilidades de seguridad de memoria en el código Rust de Android, concluyó. «No esperamos que este número se quede en cero para siempre, pero dado el volumen del nuevo código Rust en dos versiones de Android y los componentes sensibles a la seguridad donde se usa, este es un resultado significativo».
ผ่าน: The Registry (เปิดในแท็บใหม่)
