El 6 d'abril Google va anunciar que el Projecte de codi obert d'Android (AOSP) ara admetrà el llenguatge Rust per al desenvolupament del sistema operatiu mòbil, aquest anunci és part dels esforços de la companyia per abordar els problemes de seguretat de la memòria en el sistema operatiu.
segons Google, les falles de seguretat de la memòria sovint amenacen la seguretat dels dispositius, especialment per a aplicacions i sistemes operatius. Per exemple, al sistema operatiu mòbil Android, Google diu que va descobrir que més de la meitat de les vulnerabilitats de seguretat abordades el 2019 van ser el resultat d'errors de seguretat de la memòria.
Això, malgrat els considerables esforços realitzats per la companyia i altres contribuents al projecte Android Open Source, per invertir o inventar diverses tecnologies, inclòs AddressSanitizer, assignadors de memòria millorats i nombrosos fuzzers i altres eines per verificar el codi.
“A més dels llenguatges de memòria segura com Kotlin i Java, ens complau anunciar que el projecte de codi obert d'Android ara és compatible amb el llenguatge de programació Rust per al desenvolupament del sistema operatiu Android”, va dir Google al bloc.
“Invertim molt d'esforç i recursos en la detecció, la correcció i la mitigació d'aquesta categoria d'errors, i aquests esforços són efectius per evitar que una gran quantitat d'errors acabin en diferents versions d'Android. Tot i això, malgrat aquests esforços, els errors de seguretat de la memòria continuen sent una de les principals causes de problemes d'estabilitat, i representen constantment al voltant del 70% de les vulnerabilitats de seguretat d'alta gravetat d'Android ”, va dir Google.
L'enfocament general de la seguretat d'Android és multifacètic i es basa en diversos principis i tècniques per assolir solucions basades en dades que dificultin l'explotació malintencionada. A principis d'aquest any, Google va informar que l'equip de la plataforma Android estava treballant molt per protegir el sistema operatiu mòbil.
Google utilitza una varietat de fonts per determinar quines àrees de la plataforma es beneficiarien més de les mesures de mitigació de seguretat. El programa Android Vulnerability Rewards és una font molt informativa: els enginyers de seguretat analitzen totes les vulnerabilitats enviades sota aquest programa per determinar la causa arrel de cada vulnerabilitat i la gravetat.
Els nivells inferiors de sistema operatiu requereixen llenguatges de programació de sistemes com C, C++ i Rust. Aquests llenguatges estan dissenyats amb el control i la previsibilitat com a objectius. Proporcionen accés a recursos del sistema i maquinari de baix nivell.
Són eficients en l'ús de recursos i tenen característiques de rendiment més predictibles, ja que, per exemple, amb C i C++, el desenvolupador és responsable d'administrar la vida útil de la memòria. Malauradament, és fàcil cometre errors en fer-ho, especialment en bases de codi complexes i multiprocés.
Segons Google, Rust proporciona garanties de seguretat de la memòria mitjançant lús duna combinació de comprovacions en temps de compilació per fer complir la durada / propietat dels objectes i les comprovacions en temps dexecució per garantir que els accessos a la memòria siguin vàlids. Aquesta seguretat s'obté oferint un rendiment equivalent al de C i C++.
Google creu que els llenguatges orientats a la seguretat de la memòria com Rust són «la manera més rendible de prevenir errors de memòria» al carregador d'arrencada, l'arrencada ràpida, el nucli i altres parts de baix nivell del sistema operatiu.
Els llenguatges com Java i Kotlin són la millor opció per desenvolupar aplicacions Android. Aquests llenguatges estan dissenyats per facilitar-ne l'ús, la portabilitat i la seguretat. Android Runtime (ART) administra la memòria en nom del desenvolupador.
El sistema operatiu Android fa un ús extensiu de Java, que protegeix eficaçment gran part de la plataforma Android derrors de memòria, malauradament, per a les capes inferiors del sistema operatiu, Java i Kotlin no són adequats.
Finalment si estàs interessat en conèixer més a l'respecte sobre la nota, pots consultar els detalls en el següent enllaç.