Google:這是我們加強Android安全性的方式
Google詳細介紹了其為使Android抵禦Stagefright漏洞等威脅而做出的一些努力
最近更新時間 2021-02-02 10:49:49
谷歌已經解釋了它如何努力改善Android安全性,以及它為應對常見威脅所採取的步驟。
它顯示,影響其Android操作系統的嚴重和高度嚴重的安全漏洞中有59%是內存問題,例如內存損壞和溢出。
內存安全性問題迄今為止是安全性問題中最重要的類別,其次是權限繞過漏洞,佔Google安全工程師在2019年修復的漏洞的21%。
內存問題通常是Java,Windows 10和Chrome等主要平臺上安全漏洞的首要類別。谷歌工程師去年表示,Chrome安全漏洞中有70%是內存安全問題。在此之前,微軟工程師說,其產品修復的所有錯誤中有70%是內存安全問題,或者是軟件問題,這些問題允許訪問的內存超出了操作系統分配的內存和地址。
谷歌今天表示,它鼓勵開發人員轉向使用內存安全的程序語言,例如Java,Kotlin和Rust,但同時也試圖提高C和C ++的安全性。這些是其強化Android並保護OS免受惡意軟件和漏洞利用的努力的一部分。
“ C和C ++不能像Java,Kotlin和Rust這樣的語言提供內存安全。鑑於報告給Android的大多數安全漏洞都是內存安全問題,因此採用了兩方面的方法:提高C/C ++的安全性,同時也鼓勵使用內存安全語言。” Google在Android安全與隱私小組的博客中說。
出於相同的安全原因,Amazon Web Services(AWS)和Microsoft也在推動採用Rust。Mozilla創建了Rust以在其用於Firefox的Gecko引擎中處理與C ++內存相關的安全性問題。Rust的1.0版於2015年推出,但採用率仍然較低。 Microsoft希望將其用於系統編程而不是應用程序開發。 AWS使用Rust構建了基於Linux的容器操作系統Bottlerocket。
在Android方面,Google在過去一年中修復的絕大多數錯誤都發生在媒體,藍牙和NFC組件中。媒體庫是受Google在2015年披露的Android中嚴重且可遠程利用的Stagefright錯誤影響的關鍵組件。
根據Google的說法,其為強化Android中的媒體服務器框架所做的努力意味著,到2020年,它沒有收到有關Android媒體框架中可遠程利用的關鍵漏洞的單個報告。
Google還詳細考慮了工程師在考慮向Android添加哪些其他緩解措施時會權衡的一些安全性和性能損失。由於需要Android支持廉價的Android手機,這一決定變得很複雜。
除了內存安全語言之外,Android中的一些緩解措施還包括沙箱,地址空間佈局隨機化(ASLR),控制流完整性(CFI),Stack Canaries和內存標記。