Android 13 Android का पहला संस्करण है जहां संस्करण में जोड़े गए अधिकांश नए कोड मेमोरी-सुरक्षित भाषा में हैं।
एक ब्लॉग पोस्ट के माध्यम से, Google इंजीनियर्स पहले परिणामों का सारांश जारी किया परिचय का Android पर रस्ट डेवलपमेंट सपोर्ट।
एक एंड्रॉइड 13, लगभग 21% नए कोड संकलित किए गए कुल रस्ट में लिखा गया है और C/C++ में 79%, AOSP (एंड्रॉइड ओपन सोर्स प्रोजेक्ट) रिपॉजिटरी है, जो एंड्रॉइड प्लेटफॉर्म के लिए सोर्स कोड विकसित करता है, जिसमें रस्ट कोड की लगभग 1,5 मिलियन लाइनें हैं।
कोड एओएसपी द्वारा प्रदान किया गया यह Keystore2 क्रिप्टोग्राफिक कीस्टोर, UWB (अल्ट्रा-वाइडबैंड) चिप्स के लिए स्टैक, HTTP3 पर DNS प्रोटोकॉल के कार्यान्वयन, AVF वर्चुअलाइजेशन फ्रेमवर्क (एंड्रॉइड वर्चुअलाइजेशन फ्रेमवर्क), ब्लूटूथ और वाई-फाई के लिए प्रायोगिक स्टैक जैसे नए घटकों से संबंधित है।
लाइन में स्मृति त्रुटि कमजोरियों के जोखिम को कम करने के लिए ऊपर अपनाई गई रणनीति के साथ, अब तक रस्ट का उपयोग मुख्य रूप से नए कोड के विकास और सबसे कमजोर और महत्वपूर्ण सॉफ्टवेयर घटकों की सुरक्षा को धीरे-धीरे मजबूत करने के लिए किया जाता रहा है।
जैसे-जैसे Android में प्रवेश करने वाले नए मेमोरी-असुरक्षित कोड की संख्या में कमी आई है, वैसे-वैसे मेमोरी सुरक्षा कमजोरियों की संख्या में भी कमी आई है। 2019 से 2022 तक, यह कुल Android कमजोरियों के 76% से 35% तक गिर गया। 2022 पहले वर्ष को चिन्हित करता है कि स्मृति सुरक्षा भेद्यताएँ अधिकांश Android भेद्यताओं के लिए जिम्मेदार नहीं हैं।
पूरे प्लेटफ़ॉर्म को रस्ट में स्थानांतरित करने का सामान्य लक्ष्य निर्धारित नहीं है, और पुराना कोड C / C ++ में रहता है, और इसमें बग के खिलाफ लड़ाई फ़ज़िंग टेस्ट, स्टैटिक एनालिसिस और समान तकनीकों के उपयोग से की जाती है। HWAsan (हार्डवेयर असिस्टेड एड्रेससैनिटाइज़र) मेमोरी के साथ काम करते समय मिरेकलपीआरटी प्रकार का उपयोग (कच्चे पॉइंटर्स पर बाध्यकारी, जो मुक्त स्मृति क्षेत्रों तक पहुंचने के लिए अतिरिक्त जांच करता है), स्कूडो मेमोरी आवंटन प्रणाली (मॉलोक / फ्री के लिए एक सुरक्षित प्रतिस्थापन) और त्रुटि पहचान तंत्र , GWP-ASAN और KFENCE।
की प्रकृति के आँकड़ों के संबंध में कमजोरियां Android प्लेटफ़ॉर्म पर, यह देखा गया है कि as असुरक्षित तरीके से मेमोरी के साथ काम करने वाले नए कोड की मात्रा घटाता है, यह मेमोरी के साथ काम करते समय त्रुटियों के कारण होने वाली कमजोरियों की संख्या को भी कम करता है।
उदाहरण के लिए, स्मृति मुद्दों के कारण कमजोरियों का अनुपात 76 में 2019% से घटकर 35 में 2022% हो गया। पूर्ण संख्या में, 223 में 2019 स्मृति संबंधी कमजोरियों की पहचान की गई, 150 में 2020, 100 में 2021 और 85 में 2022 की पहचान की गई। नहीं मिले थे)। 2022 पहला साल था जब स्मृति संबंधी कमजोरियां हावी होना बंद हो गईं।
आज तक, एंड्रॉइड रस्ट कोड में कोई स्मृति सुरक्षा भेद्यता नहीं खोजी गई है।
हमें उम्मीद नहीं है कि यह संख्या हमेशा के लिए शून्य पर रहेगी, लेकिन Android के दो संस्करणों और सुरक्षा-संवेदनशील घटकों में नए रस्ट कोड की मात्रा को देखते हुए, जहां इसका उपयोग किया जाता है, यह एक महत्वपूर्ण परिणाम है। यह दर्शाता है कि रस्ट एंड्रॉइड भेद्यता के सबसे सामान्य स्रोत को रोकने के अपने इच्छित उद्देश्य को पूरा कर रहा है।
यह देखते हुए कि याददाश्त से जुड़ी कमजोरियां अक्सर सबसे खतरनाक होती हैं, समग्र आँकड़े भी महत्वपूर्ण मुद्दों और मुद्दों की संख्या में कमी दिखाते हैं जिनका दूर से फायदा उठाया जा सकता है। साथ ही, स्मृति के साथ काम करने से संबंधित कमजोरियों का पता लगाने की गतिशीलता पिछले 4 वर्षों के लगभग समान स्तर पर रही है - प्रति माह 20 कमजोरियां।
स्मृति त्रुटियों के कारण होने वाली कमजोरियों के लिए खतरनाक मुद्दों का अनुपात भी समान है (लेकिन जैसे-जैसे कमजोरियों की संख्या घटती जाती है, खतरनाक समस्याओं की संख्या भी घटती जाती है)।
आंकड़े नए कोड की मात्रा के बीच संबंध को भी ट्रैक करते हैं जो असुरक्षित तरीके से मेमोरी के साथ काम करता है और मेमोरी से संबंधित कमजोरियों की संख्या (बफर ओवरफ्लो, पहले से मुक्त मेमोरी तक पहुंच आदि)।
यह अवलोकन की धारणा की पुष्टि करें कि में मुख्य ध्यान सुरक्षित प्रोग्रामिंग तकनीकों का कार्यान्वयन इसे नए कोड को दिया जाना चाहिए और मौजूदा कोड को फिर से नहीं लिखना चाहिए, क्योंकि पहचान की गई अधिकांश कमजोरियां नए कोड में हैं।
Fuente: https://security.googleblog.com/