Le nombre annuel de vulnérabilités de sécurité de la mémoire dans Android est passé de 223 en 2019 à 85 en 2022 Google (en anglais) a progressivement évolué vers des langages sécurisés pour la mémoire.
Le géant de la technologie a fait l’annonce dans un article de blog jeudi, où il a écrit que pendant plus d’une décennie, 65% de toutes les vulnérabilités dans les produits et l’industrie étaient défauts de sécurité de la mémoire.
« Sur Android, nous voyons maintenant quelque chose de différent – une baisse significative des vulnérabilités de sécurité de la mémoire et une baisse associée de la gravité de nos vulnérabilités », a écrit Google.
« Cette baisse coïncide avec un changement dans l’utilisation des langages de programmation loin des langages dangereux pour la mémoire. Android 13 est la première version d’Android où la majorité du nouveau code ajouté à la version est dans un langage sécurisé pour la mémoire.
Plus précisément, la société a déclaré que de 2019 à 2022, le nombre est passé de 76% à 35% des vulnérabilités totales d’Android.
« 2022 est la première année où les vulnérabilités de sécurité de la mémoire ne représentent pas la majorité des vulnérabilités d’Android », Google écrivirent.
« Bien que corrélation ne signifie pas nécessairement causalité, il est intéressant de noter que le pourcentage de vulnérabilités causées par des problèmes de sécurité de la mémoire semble être assez étroitement corrélé avec le langage de développement utilisé pour le nouveau code. »
En fait, la prise en charge du langage de programmation Rust a été introduite pour la première fois dans Android 12 en tant qu’alternative sécurisée à la mémoire de C / C ++.
« Comme nous l’avons noté dans l’annonce originale, notre objectif n’est pas de convertir le C/C++ existant en Rust, mais plutôt de déplacer le développement de nouveau code vers des langages sécurisés en mémoire au fil du temps. »
Selon le cabinet de recherche, environ 21% de tout le nouveau code natif dans Androïde 13 est dans Rust, dans différentes parties du système d’exploitation, y compris Keystore2, la nouvelle pile Ultra-large bande (UWB), DNS-over-HTTP3 et Android Virtualization Framework (AVF), entre autres.
« À ce jour, aucune vulnérabilité de sécurité de la mémoire n’a été découverte dans le code Rust d’Android », a déclaré Google.
« Nous ne nous attendons pas à ce que ce nombre reste zéro pour toujours, mais compte tenu du volume de nouveau code Rust sur deux versions d’Android et des composants sensibles à la sécurité où il est utilisé, c’est un résultat significatif. »
Alors que Rust peut être utilisé pour réduire les vulnérabilités de sécurité de la mémoire dans Android, le langage de programmation est également exploité par les acteurs de la menace pour augmenter la complexité d’outils malveillants.