Google afferma che Rust è la chiave per ridurre le vulnerabilità di Android

Google afferma che Rust è la chiave per ridurre le vulnerabilità di Android

Il linguaggio di programmazione Rust è la chiave per rendere più sicuro il sistema operativo Android, affermano gli ingegneri di Google.

In un post sul blog (si apre in una nuova scheda) pubblicato dall'ingegnere della sicurezza Android Jeffrey Vander Stoep, Googler afferma che il numero di gravi vulnerabilità della memoria è diminuito in modo significativo negli ultimi tre anni e suggerisce che tutto ciò sia causato dal sistema operativo. allontanarsi dalla memoria insicura. linguaggi di programmazione, C e C++.

Tre anni fa, la maggior parte (65%) dei bug di Android erano bug di sicurezza della memoria critici o di elevata gravità (si pensi ad esempio a bug di lettura e scrittura fuori limite). Da allora, Google scrive regolarmente nuovo codice Rust e lo aggiunge ad Android (piuttosto che limitarsi a migliorare il codice esistente). Ora il numero di tali anomalie è drasticamente diminuito e non sono più il problema più grande che affligge il sistema operativo mobile.

Vulnerabilità meno gravi in ​​una costante

"Dal 2019 al 2022, il numero annuale di vulnerabilità della sicurezza della memoria è sceso da 223 a 85", afferma Vander Stoep.

Con Android 12 (rilasciato all'inizio di ottobre 2021), il sistema operativo è diventato un primo prodotto Rust, ha affermato. E mentre i bug di sicurezza della memoria sono diminuiti grazie all'uso del nuovo linguaggio di programmazione, altre forme di vulnerabilità sono rimaste stabili con circa 20 nuovi difetti scoperti ogni mese. Tuttavia, questi difetti non sono così gravi come i bug di sicurezza della memoria.

Ma ciò non significa che Google stia abbandonando completamente C e C++. La società continuerà a investire in strumenti per scrivere codice C e C++ più sicuro, ha affermato Vander Stoep, citando Scudo mapper, HWASAN, GWP-ASAN e KFENCE sui dispositivi Android. Ha anche affermato che Google ha aumentato l'uso del fuzzing.

Finora, Rust è stato abbastanza affidabile, ma Vander Stoep sa che potrebbe cambiare in futuro: finora non sono state scoperte vulnerabilità di sicurezza della memoria nel codice Android di Rust, ha concluso. "Non ci aspettiamo che questo numero rimanga a zero per sempre, ma dato il volume del nuovo codice Rust su due versioni di Android e i componenti sensibili alla sicurezza in cui viene utilizzato, questo è un risultato significativo."

Via: Il Registro (si apre in una nuova scheda)