В Google назвали Rust ключом к повышению безопасности Android

В Google назвали Rust ключом к повышению безопасности Android. Фото: СС0

Инженер по безопасности Android Джеффри Вандер Стоуп, работающий в Google, утверждает, что количество серьезных уязвимостей памяти значительно сократилось за последние три года, и предполагает, что все это благодаря тому, что разработчики ОС отказываются от небезопасных для памяти языков программирования, C и C++.

Три года назад большинство (65 %) ошибок Android были либо серьезными, либо критическими ошибками безопасности памяти (например, ошибки чтения и записи за пределами границ). С тех пор Google неуклонно пишет новый код Rust и добавляет его в Android (а не просто улучшает существующий код). Теперь количество этих недостатков значительно сократилось, и они больше не являются самой большой проблемой, преследующей мобильную ОС.

С 2019 по 2022 год ежегодное количество уязвимостей безопасности памяти сократилось с 223 до 85, объясняет Вандер Стоуп. 

По его словам, с Android 12 (выпущенным в начале октября 2021 года) ОС стала первым продуктом Rust. И хотя благодаря использованию нового языка программирования количество ошибок, связанных с безопасностью памяти, уменьшилось, другие формы уязвимостей остались на прежнем уровне: примерно 20 новых ошибок обнаруживаются каждый месяц. Однако эти недостатки не так серьезны, как ошибки безопасности памяти.

Но это не означает, что Google полностью отказывается от C и C++. Компания продолжит инвестировать в инструменты для написания более безопасного кода на C и C++, сказал Вандер Стоуп, упомянув защищенный распределитель Scudo, HWASAN, GWP-ASAN и KFENCE для Android устройств. Он также сказал, что Google расширила использование фаззинга. 

До сих пор Rust был довольно надежным, но Вандер Стоуп утверждает, что это может измениться в будущем: на сегодняшний день в коде Android Rust не было обнаружено ни одной уязвимости, связанной с безопасностью памяти. — заключил он. 

Из сообщения Вандера Стоупа:

«Мы не ожидаем, что это число навсегда останется равным нулю, но, учитывая объем нового кода Rust в двух выпусках Android и компоненты, чувствительные к безопасности, в которых он используется, это значительный результат».

Startpack подготовил список платформ для работы с паролями, необходимыми для доступа к прикладным программам или веб-сервисам. Обязательное шифрование данных защищает критически важную информацию от хищения или повреждения злоумышленниками. Автоматическая сортировка и заполнение полей с паролём облегчает доступ к сервисам. Возможность создания резервных копий базы паролей для сохранения на случай сбоя или ошибки.

Статьи по теме

• В клавиатурных приложениях для Android выявлены серьезные недостатки безопасности.
• Microsoft Defender оснастили встроенной защитой.
• Новый зловред-вымогатель быстро захватывает сеть.
• Dropbox предлагает сквозное шифрование для бизнес-пользователей.