Le langage de programmation Rust est la clé pour rendre le système d’exploitation Android plus sûr, ont affirmé les ingénieurs de Google.
Dans un article de blog (s’ouvre dans un nouvel onglet) publié par l’ingénieur en sécurité Android Jeffrey Vander Stoep, le Googler affirme que le nombre de vulnérabilités graves de la mémoire a considérablement diminué au cours des trois dernières années et suggère que tout cela est dû au fait que le système d’exploitation s’éloigne des langages de programmation non sécurisés pour la mémoire, C et C ++.
Il y a trois ans, la majorité (65 %) des bogues d’Android étaient des bogues de sécurité de la mémoire de gravité élevée ou critique (pensez aux défauts de lecture et d’écriture hors limites, par exemple). Depuis lors, Google écrit régulièrement un nouveau code Rust et l’ajoute à Android (au lieu de simplement améliorer le code existant). Maintenant, le nombre de ces défauts a considérablement diminué et ils ne sont plus le plus gros problème qui afflige le système d’exploitation mobile.
Vulnérabilités moins graves dans une constante
« De 2019 à 2022, le nombre annuel de vulnérabilités de sécurité de la mémoire est passé de 223 à 85 », explique Vander Stoep.
Avec Android 12 (sorti début octobre 2021), le système d’exploitation est devenu un produit Rust-first, a-t-il déclaré. Et tandis que les bogues de sécurité de la mémoire ont diminué grâce à l’utilisation du nouveau langage de programmation, d’autres formes de vulnérabilités sont restées stables avec environ 20 nouvelles failles découvertes chaque mois. Cependant, ces défauts ne sont pas aussi graves que les bogues de sécurité de la mémoire.
Mais cela ne signifie pas que Google abandonne complètement C et C++. La société continuera d’investir dans des outils pour écrire du code C et C++ plus sûr, a déclaré Vander Stoep, mentionnant l’allocateur renforcé Scudo, HWASAN, GWP-ASAN et KFENCE sur Android. (s’ouvre dans un nouvel onglet) dispositifs. Il a également déclaré que Google avait augmenté son utilisation du fuzzing.
Jusqu’à présent, Rust a été assez fiable, mais Vander Stoep sait que cela pourrait changer à l’avenir : à ce jour, aucune vulnérabilité de sécurité de la mémoire n’a été découverte dans le code Rust d’Android », a-t-il conclu. « Nous ne nous attendons pas à ce que ce nombre reste à zéro pour toujours, mais étant donné le volume de nouveau code Rust sur deux versions d’Android et les composants sensibles à la sécurité où il est utilisé, c’est un résultat significatif. »
Via : Le Registre (s’ouvre dans un nouvel onglet)