Google affirme que Rust est la clé pour réduire les vulnérabilités d'Android

VPN Android
(Crédit photo: Shutterstock / ALberto Garcia Guillen)

Le langage de programmation Rust est la clé pour rendre le système d'exploitation Android plus sûr, selon les ingénieurs de Google.

Dans un billet de blog (s'ouvre dans un nouvel onglet) publié par Jeffrey Vander Stoep, ingénieur en sécurité d'Android, le Googler affirme que le nombre de vulnérabilités graves liées à la mémoire a considérablement diminué au cours des trois dernières années et suggère que c'est grâce à l'abandon par le système d'exploitation des langages de programmation moins bien sécurisés, C et C++.

Il y a trois ans, la majorité (65 %) des bugs Android était liée à des problèmes de sécurité mémoire de haute gravité ou gravité critique (pensez aux failles de lecture et d'écriture hors limites, par exemple). Depuis lors, Google n'a cessé d'écrire du nouveau code Rust et de l'ajouter à Android (au lieu de simplement améliorer le code existant). Aujourd'hui, le nombre de ces failles a considérablement diminué et elles ne constituent plus le principal problème du système d'exploitation mobile.

Des vulnérabilités moins graves dans un environnement plus stable

"De 2019 à 2022, le nombre annuel de vulnérabilités de sécurité de la mémoire a chuté de 223 à 85", explique Vander Stoep. 

Avec Android 12 (publié début octobre 2021), le système d'exploitation est devenu un produit Rust-first, a-t-il précisé. Et si les bugs de sécurité de la mémoire ont diminué grâce à l'utilisation du nouveau langage de programmation, d'autres formes de vulnérabilités sont restées stables, avec environ 20 nouvelles failles découvertes chaque mois. Toutefois, ces failles ne sont pas aussi graves que les bugs de sécurité de la mémoire.

Mais cela ne signifie pas que Google abandonne complètement le C et le C++. L'entreprise continuera à investir dans des outils permettant d'écrire du code C et C++ plus sûr, a déclaré Vander Stoep, en mentionnant l'introduction de Scudo, HWASAN, GWP-ASAN et KFENCE sur les appareils Android (s'ouvre dans un nouvel onglet) Il a également déclaré que Google a augmenté son utilisation d'autres outils de sécurité tels que le fuzzing. 

Jusqu'à présent, Rust a été assez fiable, mais Vander Stoep sait que cela pourrait changer à l'avenir : À ce jour, aucune faille de sécurité mémoire n'a été découverte dans le code Rust d'Android", conclut-il. "Nous ne nous attendons pas à ce que ce chiffre reste nul pour toujours, mais étant donné le volume de nouveau code Rust sur deux versions d'Android, et les composants sensibles à la sécurité où il est utilisé, c'est un résultat significatif."

Via: The Register (s'ouvre dans un nouvel onglet)

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.