Android 13 on Androidi esimene versioon, kus suurem osa versioonile lisatud uuest koodist on mälukindlas keeles.
Google'i insenerid blogipostituse kaudu avaldas esimeste tulemuste kokkuvõtte sissejuhatusest Rooste arendamise tugi Androidis.
Android 13, umbes 21% uuest koodist koostatud Agregaat on kirjutatud keeles Rust ja 79% keeles C/C++, olles AOSP (Android Open Source Project) hoidla, mis arendab Androidi platvormi lähtekoodi, millel on ligikaudu 1,5 miljonit rida Rust koodi.
Kood pakub AOSP see on seotud uute komponentidega, nagu Keystore2 krüptograafiline võtmesalv, UWB (ultra-lairiba) kiipide virn, DNS-protokolli rakendamine HTTP3 kaudu, AVF virtualiseerimisraamistik (Android Virtualization Framework), eksperimentaalsed Bluetoothi ja Wi-Fi virnad.
Joon ülaltoodud strateegiaga, et vähendada mäluvigade haavatavust, Seni on Rusti kasutatud peamiselt uue koodi väljatöötamiseks ning kõige haavatavamate ja elutähtsamate tarkvarakomponentide turvalisuse järkjärguliseks tugevdamiseks.
Kuna Androidi sisenevate uute mälu ebaturvaliste koodide arv on vähenenud, on vähenenud ka mälu turvaaukude arv. Aastatel 2019–2022 langes see Androidi haavatavuste koguarvust 76%-lt 35%-le. 2022. aasta tähistab esimest aastat, mil mäluturbe haavatavused ei moodusta enamikku Androidi haavatavustest.
Üldist eesmärki kogu platvormi Rustile ülekandmine ei ole seatud ning vana kood jääb C/C++-sse ning selles sisalduvate vigade vastu võitlemine käib fuzzing-testide, staatilise analüüsi ja sarnaste tehnikate kasutamisega. MiraclePtr tüüpi (sidumine töötlemata osutitega, mis teostab täiendavaid kontrolle vabastatud mälualadele juurdepääsuks), Scudo mälujaotussüsteemi (malloc/free ohutu asendus) ja veatuvastusmehhanismide kasutamine HWAsani (Hardware Assisted AddressSanitizer) mäluga töötamisel , GWP-ASAN ja KFENCE.
Mis puudutab statistikat olemuse kohta haavatavusi Androidi platvormil on täheldatud, et as vähendab uue koodi hulka, mis töötab mäluga ebaturvaliselt, vähendab see ka mäluga töötamise vigadest põhjustatud haavatavuste arvu.
Näiteks mäluprobleemidest põhjustatud haavatavuste osakaal vähenes 76%-lt 2019. aastal 35%-le 2022. aastal. Absoluutarvudes tuvastati 223. aastal 2019 mäluga seotud haavatavust, 150. aastal 2020, 100. aastal 2021 ja 85. aastal 2022. ei leitud). 2022. aasta oli esimene aasta, mil mäluga seotud haavatavused lakkasid domineerimast.
Seni pole Android Rust koodis mälu turvaauku avastatud.
Me ei eelda, et see arv jääb igaveseks nulli, kuid arvestades uue Rust-koodi mahtu kahes Androidi versioonis ja turvatundlikke komponente, kus seda kasutatakse, on see märkimisväärne tulemus. See näitab, et Rust täidab oma kavandatud eesmärki ennetada Androidi kõige levinumat haavatavuste allikat.
Kuna mäluga seotud haavatavused on sageli kõige ohtlikumad, näitab üldine statistika ka kriitiliste probleemide ja probleemide arvu vähenemist, mida saab kaugjuhtimisega ära kasutada. Samas on mäluga töötamisega mitteseotud turvaaukude tuvastamise dünaamika viimased 4 aastat olnud ligikaudu samal tasemel - 20 haavatavust kuus.
Ka ohtlike probleemide ja mäluvigadest põhjustatud haavatavuste suhe on sama (aga turvaaukude arvu vähenedes väheneb ka ohtlike probleemide arv).
Samuti jälgib statistika korrelatsiooni ebaturvaliselt mäluga töötava uue koodi hulga ja mäluga seotud haavatavuste (puhvri ületäitumised, juurdepääs juba vabastatud mälule jne) vahel.
See tähelepanek oletust kinnitada et põhitähelepanu on turvaliste programmeerimistehnikate rakendamine see tuleks anda uuele koodile, mitte olemasolevat ümber kirjutada, kuna enamik tuvastatud turvaauke on uues koodis.
allikas: https://security.googleblog.com/