ஆண்ட்ராய்டு 13 என்பது ஆண்ட்ராய்டின் முதல் பதிப்பாகும், இதில் பெரும்பாலான புதிய குறியீடுகள் நினைவக-பாதுகாப்பான மொழியில் சேர்க்கப்பட்டுள்ளன.
வலைப்பதிவு இடுகை மூலம், கூகுள் பொறியாளர்கள் முதல் முடிவுகளின் சுருக்கத்தை வெளியிட்டது அறிமுகத்தின் ஆண்ட்ராய்டில் ரஸ்ட் டெவலப்மெண்ட் ஆதரவு.
ஆண்ட்ராய்டு 13, சுமார் 21% புதிய குறியீடு தொகுக்கப்பட்டது மொத்தமானது ரஸ்டிலும் 79% C/C++ இல் எழுதப்பட்டுள்ளது, இது AOSP (Android Open Source Project) களஞ்சியமாக உள்ளது, இது ஆண்ட்ராய்டு இயங்குதளத்திற்கான மூலக் குறியீட்டை உருவாக்குகிறது, இதில் சுமார் 1,5 மில்லியன் ரஸ்ட் குறியீடுகள் உள்ளன.
குறியீடு AOSP வழங்கியது இது Keystore2 கிரிப்டோகிராஃபிக் கீஸ்டோர், UWB (அல்ட்ரா-வைட்பேண்ட்) சில்லுகளுக்கான ஸ்டாக், HTTP3, AVF மெய்நிகராக்க கட்டமைப்பு (Android Virtualization Framework), புளூடூத் மற்றும் வைஃபைக்கான சோதனை அடுக்குகள் ஆகியவற்றில் DNS நெறிமுறையை செயல்படுத்துதல் போன்ற புதிய கூறுகளுடன் தொடர்புடையது.
வரிசையில் நினைவகப் பிழை பாதிப்புகளின் அபாயத்தைக் குறைக்க மேலே பின்பற்றப்பட்ட உத்தியுடன், இப்போது வரை ரஸ்ட் முக்கியமாக புதிய குறியீட்டை உருவாக்கவும், மிகவும் பாதிக்கப்படக்கூடிய மற்றும் முக்கியமான மென்பொருள் கூறுகளின் பாதுகாப்பை படிப்படியாக வலுப்படுத்தவும் பயன்படுத்தப்படுகிறது.
ஆண்ட்ராய்டில் நுழையும் புதிய மெமரி-பாதுகாப்பற்ற குறியீட்டின் எண்ணிக்கை குறைந்துள்ளதால், நினைவக பாதுகாப்பு பாதிப்புகளின் எண்ணிக்கையும் குறைந்துள்ளது. 2019 முதல் 2022 வரை, மொத்த ஆண்ட்ராய்டு பாதிப்புகளில் இது 76% முதல் 35% வரை குறைந்துள்ளது. 2022 ஆம் ஆண்டு முதல் ஆண்டாக நினைவகப் பாதுகாப்பு பாதிப்புகள் பெரும்பாலான ஆண்ட்ராய்டு பாதிப்புகளுக்குக் காரணமாக இல்லை.
முழு தளத்தையும் ரஸ்டுக்கு மாற்றுவதற்கான பொதுவான குறிக்கோள் அமைக்கப்படவில்லை, மேலும் பழைய குறியீடு C/C++ இல் உள்ளது, மேலும் அதில் உள்ள பிழைகளுக்கு எதிரான போராட்டம் தெளிவற்ற சோதனைகள், நிலையான பகுப்பாய்வு மற்றும் ஒத்த நுட்பங்களைப் பயன்படுத்துவதன் மூலம் செய்யப்படுகிறது. MiraclePtr வகையைப் பயன்படுத்துதல் (மூல சுட்டிகள் மீது பிணைத்தல், இது விடுவிக்கப்பட்ட நினைவகப் பகுதிகளை அணுகுவதற்கான கூடுதல் சோதனைகளைச் செய்கிறது), Scudo நினைவக ஒதுக்கீடு அமைப்பு (malloc/இலவசத்திற்கான பாதுகாப்பான மாற்றீடு) மற்றும் HWAsan (வன்பொருள் உதவி முகவரிSanitizer) நினைவகத்துடன் பணிபுரியும் போது பிழை கண்டறிதல் வழிமுறைகள் , GWP-ASAN மற்றும் KFENCE.
இயல்பின் புள்ளிவிவரங்கள் குறித்து பாதிப்புகள் ஆண்ட்ராய்டு இயங்குதளத்தில், இது போன்றது கவனிக்கப்படுகிறது பாதுகாப்பற்ற வழிகளில் நினைவகத்துடன் செயல்படும் புதிய குறியீட்டின் அளவைக் குறைக்கிறது, நினைவகத்துடன் பணிபுரியும் போது ஏற்படும் பிழைகளால் ஏற்படும் பாதிப்புகளின் எண்ணிக்கையையும் இது குறைக்கிறது.
எடுத்துக்காட்டாக, நினைவகப் பிரச்சினைகளால் ஏற்படும் பாதிப்புகளின் விகிதம் 76 இல் 2019% இல் இருந்து 35 இல் 2022% ஆகக் குறைந்துள்ளது. முழுமையான எண்ணிக்கையில், 223 இல் 2019 நினைவகம் தொடர்பான பாதிப்புகள் கண்டறியப்பட்டன, 150 இல் 2020, 100 இல் 2021, மற்றும் 85 இல் 2022. காணப்படவில்லை). நினைவகம் தொடர்பான பாதிப்புகள் ஆதிக்கம் செலுத்துவதை நிறுத்திய முதல் ஆண்டு 2022 ஆகும்.
இன்றுவரை, Android Rust குறியீட்டில் நினைவகப் பாதுகாப்பு பாதிப்புகள் எதுவும் கண்டறியப்படவில்லை.
அந்த எண் எப்போதும் பூஜ்ஜியத்தில் இருக்கும் என்று நாங்கள் எதிர்பார்க்கவில்லை, ஆனால் ஆண்ட்ராய்டின் இரண்டு பதிப்புகளில் உள்ள புதிய ரஸ்ட் குறியீட்டின் அளவு மற்றும் அது பயன்படுத்தப்படும் பாதுகாப்பு-உணர்திறன் கூறுகள் ஆகியவற்றைக் கருத்தில் கொண்டு, இது ஒரு குறிப்பிடத்தக்க முடிவு. ஆண்ட்ராய்டு பாதிப்புகளின் மிகவும் பொதுவான மூலத்தைத் தடுக்கும் நோக்கத்திற்காக ரஸ்ட் சேவை செய்கிறது என்பதை இது காட்டுகிறது.
என்று கொடுக்கப்பட்ட நினைவகம் தொடர்பான பாதிப்புகள் பெரும்பாலும் மிகவும் ஆபத்தானவை, ஒட்டுமொத்த புள்ளிவிவரங்கள் முக்கியமான சிக்கல்கள் மற்றும் தொலைதூரத்தில் பயன்படுத்தக்கூடிய சிக்கல்களின் எண்ணிக்கையில் குறைவைக் காட்டுகின்றன. அதே நேரத்தில், நினைவகத்துடன் வேலை செய்வதோடு தொடர்பில்லாத பாதிப்புகளைக் கண்டறிவதற்கான இயக்கவியல் கடந்த 4 ஆண்டுகளாக தோராயமாக அதே அளவில் உள்ளது - மாதத்திற்கு 20 பாதிப்புகள்.
நினைவகப் பிழைகளால் ஏற்படும் பாதிப்புகளுக்கு ஆபத்தான சிக்கல்களின் விகிதமும் ஒன்றுதான் (ஆனால் பாதிப்புகளின் எண்ணிக்கை குறைவதால், ஆபத்தான சிக்கல்களின் எண்ணிக்கையும் குறைகிறது).
பாதுகாப்பற்ற முறையில் நினைவகத்துடன் செயல்படும் புதிய குறியீட்டின் அளவுக்கும் நினைவகம் தொடர்பான பாதிப்புகளின் எண்ணிக்கைக்கும் இடையே உள்ள தொடர்பை புள்ளிவிவரங்கள் கண்காணிக்கின்றன (இடைநிலை மேலோட்டங்கள், ஏற்கனவே விடுவிக்கப்பட்ட நினைவகத்திற்கான அணுகல் போன்றவை).
இந்த கவனிப்பு அனுமானத்தை உறுதிப்படுத்தவும் என்று முக்கிய கவனம் பாதுகாப்பான நிரலாக்க நுட்பங்களை செயல்படுத்துதல் இது புதிய குறியீட்டிற்கு வழங்கப்பட வேண்டும் மற்றும் ஏற்கனவே உள்ளதை மீண்டும் எழுதக்கூடாது, ஏனெனில் கண்டறியப்பட்ட பெரும்பாலான பாதிப்புகள் புதிய குறியீட்டில் உள்ளன.
மூல: https://security.googleblog.com/