6 kwietnia Google to ogłosił projekt Open Source Androida (AOSP) będzie teraz wspierać język Rust do programowania mobilnego systemu operacyjnego, niniejsze ogłoszenie jest częścią wysiłków firmy mających na celu rozwiązanie problemów związanych z bezpieczeństwem pamięci w systemie operacyjnym.
Według Google'aluki w zabezpieczeniach pamięci często zagrażają bezpieczeństwu urządzeń, zwłaszcza dla aplikacji i systemów operacyjnych. Na przykład w mobilnym systemie operacyjnym Android Google twierdzi, że ponad połowa luk w zabezpieczeniach wyeliminowanych w 2019 r. była wynikiem błędów w zabezpieczeniach pamięci.
Dzieje się tak, pomimo znacznych wysiłków firmy i innych współpracowników projektu Android Open Source, aby zainwestować lub wynaleźć różne technologie, w tym AddressSanitizer, ulepszone alokatory pamięci oraz liczne fuzzery i inne narzędzia do weryfikacji kodu.
„Oprócz języków bezpiecznych dla pamięci, takich jak Kotlin i Java, z przyjemnością ogłaszamy, że projekt open source dla Androida obsługuje teraz język programowania Rust do tworzenia systemu operacyjnego Android” – powiedział Google na swoim blogu.
„Inwestujemy wiele wysiłku i zasobów w wykrywanie, naprawianie i ograniczanie tej kategorii błędów, a wysiłki te skutecznie zapobiegają występowaniu dużej liczby błędów w różnych wersjach Androida. Jednak pomimo tych wysiłków błędy w zabezpieczeniach pamięci nadal są główną przyczyną problemów ze stabilnością, konsekwentnie odpowiadając za około 70% luk w zabezpieczeniach Androida o dużej wadze” – powiedział Google.
Ogólne podejście do bezpieczeństwa Androida jest wielopłaszczyznowe i opiera się na różnych zasadach i technikach. w celu uzyskania rozwiązań opartych na danych, które utrudniają złośliwą eksploatację. Na początku tego roku Google poinformowało, że zespół platformy Android ciężko pracował nad ochroną swojego mobilnego systemu operacyjnego.
Google używa różnych czcionek w celu określenia, które obszary platformy odniosłyby największe korzyści ze środków ograniczających bezpieczeństwo. Program Android Vulnerability Rewards jest bardzo pouczającym źródłem: inżynierowie ds. bezpieczeństwa analizują wszystkie luki zgłoszone w ramach tego programu, aby określić główną przyczynę każdej luki i jej wagę.
niższe poziomy systemu operacyjnego wymagają języków programowania systemu, takich jak C, C++ i Rust. Języki te zostały zaprojektowane z myślą o kontroli i przewidywalności jako celach. Zapewniają dostęp do niskopoziomowych zasobów sprzętowych i systemowych.
Są efektywne w wykorzystaniu zasobów i mają bardziej przewidywalną charakterystykę działania, ponieważ na przykład w C i C++ programista jest odpowiedzialny za zarządzanie czasem życia pamięci. Niestety, robiąc to, łatwo popełnić błędy, zwłaszcza w złożonych, wielowątkowych bazach kodu.
Według Google Rust zapewnia gwarancje bezpieczeństwa pamięci za pomocą kombinacji kontroli w czasie kompilacji w celu wymuszenia okresu istnienia/własności obiektów oraz kontroli w czasie wykonywania, aby upewnić się, że dostęp do pamięci jest prawidłowy. To bezpieczeństwo uzyskuje się, oferując wydajność równoważną z C i C++.
Google uważa, że języki zorientowane na bezpieczeństwo pamięci, takie jak Rust, są „najbardziej opłacalnym sposobem zapobiegania błędom pamięci” w bootloaderze, fastboot, jądrze i innych niskopoziomowych częściach systemu operacyjnego.
Języki takie jak Java i Kotlin to najlepszy wybór do tworzenia aplikacji na Androida. Te języki zostały zaprojektowane z myślą o łatwości użytkowania, przenośności i bezpieczeństwie. Android Runtime (ART) zarządza pamięcią w imieniu dewelopera.
System operacyjny Android w dużym stopniu wykorzystuje Javę, co skutecznie chroni większość platformy Android przed błędami pamięci.Niestety, dla niższych warstw systemu operacyjnego Java i Kotlin nie są odpowiednie.
Wreszcie, jeśli chcesz dowiedzieć się więcej o notatce, możesz zapoznać się ze szczegółami W poniższym linku.