Το ποσοστό των ελαττωμάτων του Android που προκαλούνται από ζητήματα ασφάλειας της μνήμης έχει μειωθεί από 76% το 2019 σε μόλις 24% το 2024, αντιπροσωπεύοντας μια τεράστια μείωση άνω του 68% μέσα σε πέντε χρόνια.
Δείτε επίσης: Το Google Wallet προσθέτει υποστήριξη για δεκάδες τράπεζες των ΗΠΑ
Αυτό είναι πολύ χαμηλότερο από το 70% που υπήρχε στο Chromium, καθιστώντας το Android ένα εξαιρετικό παράδειγμα του τρόπου με τον οποίο ένα μεγάλο έργο μπορεί σταδιακά και μεθοδικά να μετακινηθεί σε μια ασφαλή περιοχή χωρίς να χάσει τη συμβατότητα.
Η Google λέει ότι πέτυχε αυτό το αποτέλεσμα δίνοντας προτεραιότητα στον νέο κώδικα που πρέπει να γράφεται σε γλώσσες που είναι ασφαλείς για μνήμη, όπως η Rust, ελαχιστοποιώντας την εισαγωγή νέων ελαττωμάτων με τον καιρό. Ταυτόχρονα, ο παλιός κώδικας διατηρήθηκε με ελάχιστες αλλαγές επικεντρωμένες σε σημαντικές επιδιορθώσεις ασφαλείας αντί για εκτεταμένες επανεγγραφές που θα υπονόμευαν επίσης τη διαλειτουργικότητα.
Αυτή η στρατηγική κάνει τον παλαιότερο κώδικα να ωριμάζει και να γίνεται ασφαλέστερος με την πάροδο του χρόνου, μειώνοντας τον αριθμό των ελαττωμάτων που σχετίζονται με τη μνήμη στο Android, ανεξάρτητα από τη γλώσσα στην οποία γράφτηκε.
Αυτοί οι δύο πυλώνες είχαν σημαντική επίδραση στη δραματική μείωση των ελαττωμάτων στη μνήμη στην πιο ευρέως χρησιμοποιούμενη πλατφόρμα κινητής τηλεφωνίας στον κόσμο, το Android.
Τι είναι τα ελαττώματα ασφάλειας μνήμης
Τα ελαττώματα ασφάλειας της μνήμης είναι μια κατηγορία τρωτών σημείων που εμφανίζονται στον προγραμματισμό όταν το λογισμικό έχει εσφαλμένη πρόσβαση σε θέσεις μνήμης. Αυτά τα ελαττώματα οδηγούν συχνά σε σοβαρά ζητήματα όπως υπερχείλιση buffer, σφάλματα χωρίς χρήση και διαρροές μνήμης. Οι υπερχειλίσεις buffer, για παράδειγμα, συμβαίνουν όταν ένα πρόγραμμα εγγράφει περισσότερα δεδομένα σε ένα buffer από αυτά που μπορεί να κρατήσει, αντικαθιστώντας ενδεχομένως τη γειτονική μνήμη. Αυτό μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα ή σφάλματα, καθιστώντας τα συστήματα επιρρεπή σε επιθέσεις.
Η Google εξηγεί ότι, αν και μπορεί να φαίνεται επικίνδυνο να αφήσουμε τον παλαιότερο κώδικα ουσιαστικά αμετάβλητο και παρόλο που ο νέος κώδικας αναμένεται να δοκιμαστεί καλύτερα και να ελεγχθεί, συμβαίνει το αντίθετο, παρά το πόσο αντιδιαισθητικό μπορεί να φαίνεται. Αυτό συμβαίνει επειδή οι πρόσφατες αλλαγές κώδικα εισάγουν τα περισσότερα ελαττώματα, επομένως ο νέος κώδικας περιέχει σχεδόν πάντα προβλήματα ασφαλείας. Ταυτόχρονα, τα σφάλματα σε παλαιότερο κώδικα εξαλείφονται εκτός εάν οι προγραμματιστές πραγματοποιήσουν εκτεταμένες αλλαγές σε αυτόν.
Δείτε ακόμα: Google Photos: Αποκτά νέο πρόγραμμα επεξεργασίας βίντεο
Η Google λέει ότι ο κλάδος, έχει περάσει από τέσσερα κύρια στάδια για την αντιμετώπιση των ελαττωμάτων ασφάλειας της μνήμης για το Android, τα οποία συνοψίζονται ως εξής:
- Reactive patching: Αρχικά, η εστίαση ήταν στη διόρθωση των τρωτών σημείων μετά την ανακάλυψή τους. Αυτή η προσέγγιση είχε ως αποτέλεσμα συνεχές κόστος, με συχνές ενημερώσεις και τους χρήστες να παραμένουν ευάλωτοι στο μεταξύ.
- Proactive mitigations: Το επόμενο βήμα ήταν η εφαρμογή στρατηγικών για να καταστήσουν πιο δύσκολες τις εκμεταλλεύσεις. Ωστόσο, αυτά τα μέτρα συχνά συνοδεύονταν από προβλήματα απόδοσης.
- Proactive vulnerability discovery: Αυτή η λύση περιλάμβανε τη χρήση εργαλείων όπως το fuzzing και τα sanitizers για την προληπτική εύρεση τρωτών σημείων. Αν και ήταν χρήσιμη, αυτή η μέθοδος αντιμετώπιζε μόνο συμπτώματα, απαιτώντας συνεχή προσοχή και προσπάθεια.
- High-assurance prevention (Safe Coding): Η πιο πρόσφατη προσέγγιση δίνει έμφαση στην πρόληψη της πηγής των τρωτών σημείων, με τη χρήση γλωσσών που είναι ασφαλείς για τη μνήμη, όπως η Rust. Αυτή η μέθοδος “secure by design” παρέχει επεκτάσιμη και μακροπρόθεσμη διασφάλιση, σπάζοντας τον κύκλο των αντιδραστικών επιδιορθώσεων και δαπανηρών μετριασμών.
Τον περασμένο Ιούνιο, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προειδοποίησε ότι το 52% των πιο ευρέως χρησιμοποιούμενων έργων ανοιχτού κώδικα χρησιμοποιούν γλώσσες που δεν είναι ασφαλείς για τη μνήμη.
Δείτε επίσης: Το Necro malware loader έχει μολύνει 11 εκατ. συσκευές μέσω Google Play
Η CISA συνέστησε στους προγραμματιστές λογισμικού να γράφουν νέο κώδικα σε γλώσσες που είναι ασφαλείς για τη μνήμη, όπως Rust, Java και GO και να μεταφέρουν υπάρχοντα έργα, ειδικά τα κρίσιμα στοιχεία, σε αυτές τις γλώσσες.
Πηγή: bleepingcomputer
