অ্যান্ড্রয়েড 13 অ্যান্ড্রয়েডের প্রথম সংস্করণ যেখানে সংস্করণে যোগ করা বেশিরভাগ নতুন কোড মেমরি-নিরাপদ ভাষায় রয়েছে।
একটি ব্লগ পোস্টের মাধ্যমে, গুগল ইঞ্জিনিয়াররা প্রথম ফলাফলের সারসংক্ষেপ প্রকাশ করেছে ভূমিকা অ্যান্ড্রয়েডে মরিচা বিকাশ সমর্থন।
একটি Android 13, নতুন কোডের প্রায় 21% সংকলিত হয়েছে AOSP (অ্যান্ড্রয়েড ওপেন সোর্স প্রজেক্ট) ভাণ্ডার হিসেবে মোট মরিচা এবং 79% C/C++ এ লেখা হয়েছে, যা অ্যান্ড্রয়েড প্ল্যাটফর্মের জন্য সোর্স কোড তৈরি করে, যেখানে প্রায় 1,5 মিলিয়ন লাইনের মরিচা কোড রয়েছে।
কোড AOSP দ্বারা সরবরাহ করা হয়েছে এটি নতুন উপাদানগুলির সাথে সম্পর্কিত যেমন Keystore2 ক্রিপ্টোগ্রাফিক কীস্টোর, UWB (আল্ট্রা-ওয়াইডব্যান্ড) চিপগুলির জন্য স্ট্যাক, HTTP3 এর উপর DNS প্রোটোকলের বাস্তবায়ন, AVF ভার্চুয়ালাইজেশন ফ্রেমওয়ার্ক (অ্যান্ড্রয়েড ভার্চুয়ালাইজেশন ফ্রেমওয়ার্ক), ব্লুটুথ এবং ওয়াই-ফাইয়ের জন্য পরীক্ষামূলক স্ট্যাক।
লাইনে মেমরি ত্রুটি দুর্বলতার ঝুঁকি কমাতে উপরে গৃহীত কৌশল সহ, এখন অবধি রাস্ট প্রধানত নতুন কোডের বিকাশের জন্য এবং ধীরে ধীরে সবচেয়ে দুর্বল এবং গুরুত্বপূর্ণ সফ্টওয়্যার উপাদানগুলির সুরক্ষা জোরদার করার জন্য ব্যবহৃত হয়েছে।
অ্যান্ড্রয়েডে প্রবেশ করা নতুন মেমরি-অনিরাপদ কোডের সংখ্যা যেমন হ্রাস পেয়েছে, মেমরি সুরক্ষা দুর্বলতার সংখ্যাও হ্রাস পেয়েছে। 2019 থেকে 2022 পর্যন্ত, এটি মোট Android দুর্বলতার 76% থেকে 35% এ নেমে এসেছে। 2022 প্রথম বছর হিসাবে চিহ্নিত করে যে মেমরি সুরক্ষা দুর্বলতাগুলি বেশিরভাগ Android দুর্বলতার জন্য দায়ী নয়৷
পুরো প্ল্যাটফর্মটিকে মরিচায় স্থানান্তর করার সাধারণ লক্ষ্য সেট করা হয়নি, এবং পুরানো কোডটি C/C++-এ রয়ে গেছে এবং এতে বাগগুলির বিরুদ্ধে লড়াই করা হয় ফাজিং পরীক্ষা, স্ট্যাটিক বিশ্লেষণ এবং অনুরূপ কৌশল ব্যবহার করে। HWAsan (হার্ডওয়্যার অ্যাসিস্টেড অ্যাড্রেস স্যানিটাইজার) মেমরির সাথে কাজ করার সময় MiraclePtr প্রকারের ব্যবহার (কাঁচা পয়েন্টারগুলির উপর বাঁধাই, যা মুক্ত মেমরি অঞ্চলগুলি অ্যাক্সেস করার জন্য অতিরিক্ত চেক সম্পাদন করে), স্কুডো মেমরি বরাদ্দকরণ সিস্টেম (ম্যালোক/ফ্রি এর জন্য একটি নিরাপদ প্রতিস্থাপন) এবং ত্রুটি সনাক্তকরণ প্রক্রিয়া , GWP-ASAN এবং KFENCE।
প্রকৃতির পরিসংখ্যান সংক্রান্ত দুর্বলতা অ্যান্ড্রয়েড প্ল্যাটফর্মে, এটি হিসাবে দেখা যায় অনিরাপদ উপায়ে মেমরির সাথে কাজ করে এমন নতুন কোডের পরিমাণ হ্রাস করে, এটি মেমরির সাথে কাজ করার সময় ত্রুটির কারণে সৃষ্ট দুর্বলতার সংখ্যাও হ্রাস করে।
উদাহরণ স্বরূপ, মেমরি সংক্রান্ত সমস্যার অনুপাত 76 সালে 2019% থেকে কমে 35 সালে 2022% হয়েছে৷ পরম সংখ্যায়, 223টি স্মৃতি-সম্পর্কিত দুর্বলতাগুলি 2019 সালে চিহ্নিত করা হয়েছিল, 150 সালে 2020টি, 100 সালে 2021টি এবং 85 সালে তারা 2022টি পাওয়া যায়নি)। 2022 হল প্রথম বছর যেখানে স্মৃতি-সম্পর্কিত দুর্বলতাগুলি আধিপত্য বিস্তার করা বন্ধ করে দিয়েছিল।
আজ অবধি, অ্যান্ড্রয়েড রাস্ট কোডে কোনও মেমরি সুরক্ষা দুর্বলতা আবিষ্কৃত হয়নি।
আমরা আশা করি না যে সংখ্যাটি চিরতরে শূন্যে থাকবে, তবে Android এর দুটি সংস্করণে নতুন মরিচা কোডের ভলিউম এবং যেখানে এটি ব্যবহার করা হয়েছে সেখানে নিরাপত্তা-সংবেদনশীল উপাদানগুলির পরিপ্রেক্ষিতে এটি একটি উল্লেখযোগ্য ফলাফল। এটি দেখায় যে মরিচা Android দুর্বলতার সবচেয়ে সাধারণ উত্স প্রতিরোধ করার উদ্দেশ্যে তার উদ্দেশ্য পূরণ করছে৷
প্রদত্ত স্মৃতি-সম্পর্কিত দুর্বলতাগুলি প্রায়ই সবচেয়ে বিপজ্জনক, সামগ্রিক পরিসংখ্যান এছাড়াও জটিল সমস্যা এবং সমস্যাগুলির সংখ্যা হ্রাস দেখায় যা দূর থেকে শোষণ করা যেতে পারে। একই সময়ে, মেমরির সাথে কাজ করার সাথে সম্পর্কিত নয় এমন দুর্বলতা সনাক্তকরণের গতিশীলতা গত 4 বছর ধরে প্রায় একই স্তরে রয়েছে - প্রতি মাসে 20টি দুর্বলতা।
মেমরি ত্রুটির কারণে বিপজ্জনক সমস্যার অনুপাতও একই (কিন্তু দুর্বলতার সংখ্যা কমে যাওয়ার সাথে সাথে বিপজ্জনক সমস্যার সংখ্যাও হ্রাস পায়)।
পরিসংখ্যানগুলি একটি অনিরাপদ পদ্ধতিতে মেমরির সাথে কাজ করে এমন নতুন কোডের পরিমাণ এবং মেমরি-সম্পর্কিত দুর্বলতার সংখ্যা (বাফার ওভারফ্লো, ইতিমধ্যে মুক্ত মেমরিতে অ্যাক্সেস, ইত্যাদি) এর মধ্যে পারস্পরিক সম্পর্ক ট্র্যাক করে।
এই পর্যবেক্ষণ অনুমান নিশ্চিত করুন যে প্রধান মনোযোগ নিরাপদ প্রোগ্রামিং কৌশল বাস্তবায়ন এটি নতুন কোডে দেওয়া উচিত এবং বিদ্যমান কোডটি পুনরায় লিখতে হবে না, যেহেতু চিহ্নিত দুর্বলতাগুলির বেশিরভাগই নতুন কোডে রয়েছে।
উৎস: https://security.googleblog.com/