November 26, 2024

Technik-Smartphone-News

Komplette Nachrichtenwelt

Laut Google funktioniert Android am besten, wenn es mit Rust • The Register abgedeckt ist

Laut Google funktioniert Android am besten, wenn es mit Rust • The Register abgedeckt ist

Google integriert seit 2019 Code, der in der Programmiersprache Rust geschrieben ist, in sein Android-Betriebssystem und seine Bemühungen haben sich in Form von weniger Sicherheitslücken ausgezahlt.

Speichersicherheitsfehler – wie z. B. außerhalb der Grenzen lesen Und die Typ oder Verwenden Sie nach kostenlos – Konto für mehr als 65 Prozent der Schwachstellen Von schwerwiegenden oder kritischen Fehlern in Chrome und Android und Die Nummern sind gleich in Software anderer Anbieter. Diese Mängel untergraben die Sicherheit und Erhöhte Softwareentwicklungskosten Wenn nicht früh erwischt.

Aber nach vier Jahren, in denen Android Rust-Bits gesammelt hat, ist diese Zahl gesunken.

sagte Jeffrey VanderStueb, Android Security Engineer bei Blogeintrag.

Laut Vander Stewepp fällt der Rückgang mit den Bemühungen zusammen, sich von speicherunsicheren Programmiersprachen zu entfernen, worum es bei C/C++ geht – eine Sprache, die Speichersicherheit nicht garantiert, aber unterstützen kann.

Beginnend mit Android 12 im letzten Jahr ist Rust zur Sprache der Android-Plattform geworden. Und jetzt in Android 13, sagt Vander Stoep, wurde der Großteil des neuen Codes, der der Version hinzugefügt wurde, in einer speichersicheren Sprache geschrieben – Rust, Java oder Kotlin.

Als weniger unsicherer Speichercode in Android eindrang, stiegen die Speichersicherheitslücken von 76 Prozent der Android-Schwachstellen im Jahr 2019 auf 35 Prozent im Jahr 2022 – das erste Jahr, in dem Speichersicherheitsfehler nicht für die Mehrheit der Schwachstellen verantwortlich waren.

Andere Schwachstellen sind im Laufe der Zeit konstant geblieben und traten in den letzten vier Jahren mit einer Rate von etwa 20 pro Monat auf. Da Sicherheitslücken im Speicher für die meisten kritischen Probleme verantwortlich waren, erwiesen sich die aufgetauchten Schwachstellen als weniger kritisch.

Siehe auch  Stoneflys Kampfkäfer sind jetzt draußen out

Google ist nicht das einzige große Technologieunternehmen, das die Vorteile von sicherem Speichercode erkannt hat. Metta hat überquert Rostschätzung. Vor einigen Monaten, Microsoft CTO Mark Rusinovich bekannt geben dass C/C++ nicht mehr zum Starten neuer Projekte verwendet werden sollte und dass Rust dort eingesetzt werden sollte, wo eine Sprache ohne Garbage Collection benötigt wird.

Damals widersetzte sich Bjarne Stroustrup, der Schöpfer von C++, der Direktive von Russinovich, indem er darauf hinwies Typ und Speicher können sicher sein Im ISO-C++-Standard wird dies durch statisches Parsing erzwungen. Aus Sicht von Stroustrup ist es sinnvoller, C++ bei der Weiterentwicklung zu helfen, als die Sprache zu verwerfen und unsicheren Code unbeaufsichtigt zu lassen.

Google investiert weiterhin in Tools zum Schreiben von sichererem C/C++-Code, sagt Vander Stoep und verweist auf die leistungsstarken Scudo-Customizer HWASAN, GWP-ASAN und KFENCE auf Android-Geräten. Er sagt, Google habe den Einsatz von Verschleierung verstärkt. Aber während solche Maßnahmen zu einem Rückgang der Speicherintegritätsfehler beigetragen haben, argumentiert er, dass der größte Teil der Verringerung der Anfälligkeit auf die Umstellung auf speichersichere Sprachen zurückzuführen sein sollte.

In Android 13 wurden etwa 21 Prozent des neuen nativen Codes in Rust geschrieben. Dazu gehören etwa 1,5 Millionen Zeilen Rust-Code im Android Open Source Project (AOSP), bestehend aus Komponenten wie z Schlüsselspeicher 2der neue Ultra-Wideband (UWB)-Stack und DNS-over-HTTP3, das in früheren Jahren in C++ hätte geschrieben werden können.

Und genau das ist Rust bisher gelungen. „Bisher wurden keine Speicherschwachstellen im Rust-Code von Android entdeckt“, sagte Vander Stueb, der klugerweise zugab, dass dies wahrscheinlich nicht für immer der Fall sein wird.

Siehe auch  Vestas wurde mit der Lieferung von Turbinen für den Offshore-Windpark He Dreiht beauftragtزرع

Rebecca Rumpole, CEO und Executive Director der Rust Foundation, sagte in einer E-Mail an: Protokoll. „Es ist nicht verwunderlich, dass Rust zunehmend in bestehende Projekte und Produkte integriert wird und Der aktuelle Blog von Google Die Diskussion über Rust in Android unterstreicht wirklich seine Sicherheitsvorteile.“

„Diese Sicherheitsvorteile werden auch von politischen Entscheidungsträgern auf der ganzen Welt anerkannt, wobei Regierungen in Europa und Nordamerika anerkennen, dass Rost eine Lösung für einige der Sicherheitsprobleme ist, die sie in der Vergangenheit hatten“, fügte Rompole hinzu.

Die US-amerikanische National Security Agency stellte kürzlich fest, dass Sprachen wie C++ zwar ein hohes Maß an Flexibilität bieten können, sich jedoch darauf verlassen, dass der Programmierer die erforderlichen Speicherreferenzprüfungen bereitstellt.

„Softwareanalysetools können viele Fälle von Speicherverwaltungsproblemen erkennen, und Laufzeitumgebungsoptionen können ebenfalls einen gewissen Schutz bieten, aber der inhärente Schutz, den speichersichere Softwaresprachen bieten, kann die meisten Speicherverwaltungsprobleme verhindern oder abmildern“, sagte die Agentur in a Aussage. Orientierungshilfe [PDF] Letzten Monat erschienen. „Die NSA empfiehlt, wann immer möglich, eine sichere mnemonische Sprache zu verwenden.“ ®

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert