Android 13 ही Android ची पहिली आवृत्ती आहे जिथे आवृत्तीमध्ये जोडलेले बहुतेक नवीन कोड मेमरी-सुरक्षित भाषेत आहेत.
एका ब्लॉग पोस्टद्वारे, Google अभियंते पहिल्या निकालांचा सारांश प्रसिद्ध केला परिचय च्या Android वर गंज विकास समर्थन.
Android 13, सुमारे 21% नवीन कोड संकलित AOSP (Android ओपन सोर्स प्रोजेक्ट) रेपॉजिटरी असल्याने, एकूण रस्टमध्ये आणि 79% C/C++ मध्ये लिहिलेले आहे, जे Android प्लॅटफॉर्मसाठी स्त्रोत कोड विकसित करते, ज्यामध्ये रस्ट कोडच्या अंदाजे 1,5 दशलक्ष ओळी आहेत.
कोड AOSP द्वारे प्रदान केले आहे हे Keystore2 क्रिप्टोग्राफिक कीस्टोअर, UWB (अल्ट्रा-वाइडबँड) चिप्ससाठी स्टॅक, HTTP3 वर DNS प्रोटोकॉलची अंमलबजावणी, AVF व्हर्च्युअलायझेशन फ्रेमवर्क (Android Virtualization Framework), Bluetooth आणि Wi-Fi साठी प्रायोगिक स्टॅक यासारख्या नवीन घटकांशी संबंधित आहे.
ओळीत मेमरी एरर भेद्यतेचा धोका कमी करण्यासाठी वर स्वीकारलेल्या धोरणासह, आत्तापर्यंत रस्टचा वापर मुख्यतः नवीन कोडच्या विकासासाठी आणि सर्वात असुरक्षित आणि महत्त्वपूर्ण सॉफ्टवेअर घटकांची सुरक्षा मजबूत करण्यासाठी केला जात आहे.
Android मध्ये प्रवेश करणार्या नवीन मेमरी-असुरक्षित कोडची संख्या कमी झाल्यामुळे, मेमरी सुरक्षा भेद्यतेची संख्या देखील कमी झाली आहे. 2019 ते 2022 पर्यंत, ते एकूण Android भेद्यतेच्या 76% वरून 35% पर्यंत घसरले. 2022 हे पहिले वर्ष आहे की मेमरी सुरक्षा भेद्यता बहुतेक Android भेद्यतेसाठी जबाबदार नाही.
संपूर्ण प्लॅटफॉर्म रस्टमध्ये हस्तांतरित करण्याचे सामान्य उद्दिष्ट सेट केलेले नाही आणि जुना कोड C/C++ मध्येच राहतो आणि त्यातील बग्स विरूद्ध लढा फझिंग चाचण्या, स्थिर विश्लेषण आणि तत्सम तंत्रांचा वापर करून केला जातो. HWAsan (हार्डवेअर असिस्टेड अॅड्रेस सॅनिटायझर) मेमरीसोबत काम करताना MiraclePtr प्रकार (कच्च्या पॉइंटर्सवर बंधनकारक, जे मोकळ्या मेमरी क्षेत्रांमध्ये प्रवेश करण्यासाठी अतिरिक्त तपासणी करते), स्कूडो मेमरी वाटप प्रणाली (मॅलोक/फ्रीसाठी सुरक्षित बदली) आणि त्रुटी शोधण्याची यंत्रणा. , GWP-ASAN आणि KFENCE.
च्या स्वरूपावरील आकडेवारीबाबत असुरक्षा अँड्रॉइड प्लॅटफॉर्मवर, असे दिसून येते की असुरक्षित मार्गांनी मेमरीसह कार्य करणार्या नवीन कोडचे प्रमाण कमी करते, ते मेमरीसह कार्य करताना त्रुटींमुळे उद्भवलेल्या भेद्यतेची संख्या देखील कमी करते.
उदाहरणार्थ, मेमरी समस्यांमुळे निर्माण होणाऱ्या असुरक्षिततेचे प्रमाण 76 मध्ये 2019% वरून 35 मध्ये 2022% पर्यंत कमी झाले. निरपेक्ष संख्येत, 223 मेमरी-संबंधित भेद्यता 2019 मध्ये, 150 मध्ये 2020, 100 मध्ये 2021 आणि 85 मध्ये 2022% सापडले नाहीत). 2022 हे पहिले वर्ष होते जेव्हा स्मृती-संबंधित असुरक्षा वर्चस्व थांबवल्या गेल्या.
आजपर्यंत, Android रस्ट कोडमध्ये कोणतीही मेमरी सुरक्षा भेद्यता आढळलेली नाही.
तो आकडा कायमचा शून्यावर राहील अशी आमची अपेक्षा नाही, परंतु Android च्या दोन आवृत्त्यांमध्ये नवीन रस्ट कोडचा व्हॉल्यूम आणि तो वापरला जाणारा सुरक्षितता-संवेदनशील घटक पाहता, हा एक महत्त्वपूर्ण परिणाम आहे. हे दर्शविते की रस्ट Android भेद्यतेचा सर्वात सामान्य स्त्रोत प्रतिबंधित करण्याचा त्याचा हेतू पूर्ण करत आहे.
असल्याने स्मृती-संबंधित असुरक्षा बहुतेकदा सर्वात धोकादायक असतात, एकूण आकडेवारी देखील गंभीर समस्या आणि समस्यांच्या संख्येत घट दर्शवते ज्यांचा दूरस्थपणे शोषण केला जाऊ शकतो. त्याच वेळी, मेमरीसह कार्य करण्याशी संबंधित नसलेल्या भेद्यता शोधण्याची गतिशीलता गेल्या 4 वर्षांपासून अंदाजे समान पातळीवर आहे - दरमहा 20 भेद्यता.
मेमरी त्रुटींमुळे उद्भवलेल्या असुरक्षा आणि धोकादायक समस्यांचे गुणोत्तर देखील समान आहे (परंतु असुरक्षिततेची संख्या कमी झाल्यामुळे धोकादायक समस्यांची संख्या देखील कमी होते).
असुरक्षित रीतीने मेमरीसह कार्य करणार्या नवीन कोडचे प्रमाण आणि मेमरी-संबंधित भेद्यतेची संख्या (बफर ओव्हरफ्लो, आधीच मुक्त केलेल्या मेमरीमध्ये प्रवेश इ.) यांच्यातील परस्परसंबंध देखील आकडेवारीचा मागोवा घेतात.
हे निरीक्षण च्या गृहीतकाची पुष्टी करा मध्ये मुख्य लक्ष की सुरक्षित प्रोग्रामिंग तंत्रांची अंमलबजावणी ते नवीन कोडला दिले पाहिजे आणि विद्यमान कोड पुन्हा लिहू नये, कारण ओळखल्या गेलेल्या बहुतेक भेद्यता नवीन कोडमध्ये आहेत.
स्त्रोत: https://security.googleblog.com/