Die jährliche Anzahl der Speicher-Sicherheitslücken in Android ist von 223 im Jahr 2019 auf 85 im Jahr 2022 gesunken, da Google schrittweise auf speichersichere Sprachen umgestellt hat.
Der Tech-Gigant gab dies am Donnerstag in einem Blog-Post bekannt, in dem er schrieb, dass über ein Jahrzehnt lang 65 % aller Sicherheitslücken in Produkten und in der Industrie Speicher-Sicherheitslücken waren.
„Bei Android sehen wir jetzt etwas anderes – einen signifikanten Rückgang der Sicherheitslücken im Speicher und einen damit verbundenen Rückgang der Schwere unserer Sicherheitslücken“, schrieb Google.
„Dieser Rückgang fällt mit einer Verschiebung in der Verwendung von Programmiersprachen weg von speicherunsicheren Sprachen zusammen. Android 13 ist die erste Android-Version, bei der ein Großteil des neu hinzugefügten Codes in einer speichersicheren Sprache vorliegt.“
Genauer gesagt, sagte das Unternehmen, dass die Zahl der Schwachstellen von 2019 bis 2022 von 76 % auf 35 % der gesamten Schwachstellen von Android gesunken ist.
„2022 ist das erste Jahr, in dem Speicher-Sicherheitsschwachstellen nicht die Mehrheit der Android-Schwachstellen ausmachen“, schrieb Google.
„Obwohl Korrelation nicht unbedingt Kausalität bedeutet, ist es interessant festzustellen, dass der Prozentsatz der Schwachstellen, die durch Speichersicherheitsprobleme verursacht werden, ziemlich eng mit der Entwicklungssprache zu korrelieren scheint, die für neuen Code verwendet wird.“
In der Tat wurde die Unterstützung für die Programmiersprache Rust erstmals in Android 12 als speichersichere Alternative zu C/C++ eingeführt.
„Wie wir in der ursprünglichen Ankündigung angemerkt haben, ist es nicht unser Ziel, bestehendes C/C++ in Rust zu konvertieren, sondern die Entwicklung von neuem Code mit der Zeit auf speichersichere Sprachen zu verlagern.“
Nach Angaben des Suchunternehmens sind etwa 21 % des gesamten neuen nativen Codes in Android 13 in Rust, und zwar in verschiedenen Teilen des Betriebssystems, darunter Keystore2, der neue Ultrabreitband-Stack (UWB), DNS-over-HTTP3 und das Virtualisierungs-Framework (AVF) von Android, um nur einige zu nennen.
„Bis heute wurden im Rust-Code von Android keine Schwachstellen in der Speichersicherheit entdeckt“, so Google.
„Wir erwarten nicht, dass diese Zahl für immer bei Null bleibt, aber angesichts des Umfangs des neuen Rust-Codes in zwei Android-Versionen und der sicherheitssensiblen Komponenten, in denen er verwendet wird, ist dies ein bedeutendes Ergebnis.“
Während Rust dazu verwendet werden kann, Schwachstellen in der Speichersicherheit von Android zu verringern, wird die Programmiersprache auch von Bedrohungsakteuren genutzt, um die Komplexität von Malware-Tools zu erhöhen.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
Schwarze Proxys“ ermöglichen Bedrohungsakteuren bösartige Aktivitäten