Comme tout logiciel largement utilisé, les vulnérabilités de sécurité sont constamment découvertes (et corrigées plus tard) dans Android tout le temps. Heureusement, un type de problème de sécurité est en déclin, grâce à un changement de langage de programmation.
Google a publié cette semaine un article de blog sur son blog de sécurité, expliquant que les vulnérabilités de la sécurité de la mémoire – où les dépassements de mémoire tampon et d’autres problèmes similaires dans le code peuvent permettre à d’autres logiciels de sortir des bacs à sable et de causer des problèmes – sont en déclin sur les téléphones Android. La société a déclaré : « nous constatons que le nombre de vulnérabilités de sécurité de la mémoire a considérablement diminué au cours des dernières années/versions. De 2019 à 2022, le nombre annuel de vulnérabilités de sécurité de la mémoire est passé de 223 à 85. »
Alors, pourquoi la baisse des problèmes de sécurité ? Google n’a pas tardé à noter que « corrélation ne signifie pas nécessairement causalité », mais le coupable probable est la décision d’écrire une grande partie du nouveau code d’Android dans le langage de programmation Rust, plutôt que dans des langages plus anciens comme C ou C++. Rust renforce la sécurité de la mémoire, réduisant considérablement la possibilité de problèmes de sécurité liés à la mémoire.
Google a révélé dans le billet de blog : « De 2019 à 2022, il est passé de 76 % à 35 % des vulnérabilités totales d’Android. 2022 est la première année où les vulnérabilités de sécurité de la mémoire ne représentent pas la majorité des vulnérabilités d’Android. Rust n’est toujours pas la plupart du nouveau code ajouté chaque année, mais le pourcentage de code Rust augmente progressivement. Google a également noté que, jusqu’à présent, aucun problème de sécurité n’a été découvert dans le code Rust d’Android.
Il y a toujours de nombreux d’autres problèmes de sécurité possibles en dehors des problèmes de sécurité de la mémoire, mais il semble que les téléphones et les tablettes Android soient plus sûrs en raison de la transition vers Rust. Cela vaut certainement la peine d’être célébré.
Source : Blog de sécurité Google