Enjenyè Google yo rezime premye rezilta aplikasyon an nan platfòm nan. Android sipò pou devlopman nan langaj Rust la. Android 13 Apeprè 21% nan kòd ki fèk konpile a ekri nan Rust, epi 79% nan C/C++. Nan depo AOSP a (Android Pwojè Sous Louvri), ki devlope kòd sous platfòm nan Android, gen apeprè 1.5 milyon liy kòd nan Rust ki gen rapò ak nouvo konpozan tankou depo kle kriptografik Keystore2 a, yon pil pou chip UWB (Ultra-Wideband), yon aplikasyon pwotokòl DNS-over-HTTP3 a, kad virtualizasyon AVF la (Android Kad Virtualizasyon), pil eksperimantal pou Bluetooth ak Wi-Fi.
An akò ak estrateji ki te adopte deja pou diminye risk pou frajilite ki te koze pa erè nan travay ak memwa, se kounye a itilize lang Rust sitou nan devlopman nouvo kòd ak ranfòse sekirite konpozan lojisyèl ki pi vilnerab ak vital yo. Pa gen okenn objektif jeneral nan transfere tout platfòm la nan Rust ak kòd la fin vye granmoun rete nan C / C ++, ak batay la kont erè nan li te pote soti nan itilize nan tès fuzzing, analiz estatik ak itilizasyon nan devlopman nan teknik ki sanble ak lè l sèvi avèk kalite MiraclePtr (obligasyon sou endikasyon anvan tout koreksyon, fè chèk adisyonèl pou jwenn aksè nan zòn memwa libere), sistèm alokasyon memwa Scudo (ranplasman san danje pou malloc / gratis) ak mekanis deteksyon erè lè w ap travay ak memwa HWAsan (Hardware-assisted AddressSanitizer), GWP. -ASAN ak KFENCE.
Konsènan estatistik sou nati vilnerabilite nan platfòm nan Android, yo note ke pandan kantite nouvo kòd ki jere memwa yon fason ki pa an sekirite ap diminye, kantite vilnerabilite ki koze pa erè memwa yo ap diminye tou. Pa egzanp, pwopòsyon vilnerabilite ki koze pa pwoblèm memwa yo te diminye soti nan 76% an 2019 pou rive nan 35% an 2022. An chif absoli, yo te idantifye 223 vilnerabilite ki gen rapò ak memwa an 2019, 150 an 2020, 100 an 2021, ak 85 an 2022 (tout vilnerabilite yo rapòte yo te nan kòd C/C++; yo poko jwenn okenn pwoblèm menm jan an nan kòd Rust). 2022 make premye ane kote vilnerabilite ki gen rapò ak memwa yo te sispann dominan.
Piske frajilite ki gen rapò ak memwa yo anjeneral pi danjere, estatistik jeneral yo montre tou yon diminisyon nan kantite pwoblèm kritik ak pwoblèm ki ka eksplwate adistans. An menm tan an, dinamik idantifye vilnerabilite ki pa gen rapò ak travay ak memwa rete nan apeprè menm nivo pou 4 dènye ane yo - 20 frajilite chak mwa. Pati nan pwoblèm danjere nan mitan frajilite ki te koze pa erè lè w ap travay ak memwa rete tou (men depi kantite frajilite sa yo diminye, kantite pwoblèm danjere tou diminye).
Estatistik yo tou swiv korelasyon ki genyen ant kantite nouvo kòd ki travay san danje ak memwa ak kantite frajilite ki gen rapò ak memwa (tanpon debòde, aksè a memwa ki deja libere, elatriye). Obsèvasyon sa a konfime sipozisyon an ke konsantre nan lè mete ann aplikasyon teknik pwogramasyon an sekirite yo ta dwe sou retire nouvo kòd olye ke reekri kòd ki deja egziste, paske gwo frajilite yo idantifye yo nan nouvo kòd.
Sous: opennet.ru
