Google：這是我們加強Android安全性的方式

谷歌已經解釋了它如何努力改善Android安全性，以及它為應對常見威脅所採取的步驟。

它顯示，影響其Android操作系統的嚴重和高度嚴重的安全漏洞中有59％是內存問題，例如內存損壞和溢出。

內存安全性問題迄今為止是安全性問題中最重要的類別，其次是權限繞過漏洞，佔Google安全工程師在2019年修復的漏洞的21％。

內存問題通常是Java，Windows 10和Chrome等主要平臺上安全漏洞的首要類別。谷歌工程師去年表示，Chrome安全漏洞中有70％是內存安全問題。在此之前，微軟工程師說，其產品修復的所有錯誤中有70％是內存安全問題，或者是軟件問題，這些問題允許訪問的內存超出了操作系統分配的內存和地址。

谷歌今天表示，它鼓勵開發人員轉向使用內存安全的程序語言，例如Java，Kotlin和Rust，但同時也試圖提高C和C ++的安全性。這些是其強化Android並保護OS免受惡意軟件和漏洞利用的努力的一部分。

“ C和C ++不能像Java，Kotlin和Rust這樣的語言提供內存安全。鑑於報告給Android的大多數安全漏洞都是內存安全問題，因此採用了兩方面的方法：提高C/C ++的安全性，同時也鼓勵使用內存安全語言。” Google在Android安全與隱私小組的博客中說。

出於相同的安全原因，Amazon Web Services（AWS）和Microsoft也在推動採用Rust。Mozilla創建了Rust以在其用於Firefox的Gecko引擎中處理與C ++內存相關的安全性問題。Rust的1.0版於2015年推出，但採用率仍然較低。 Microsoft希望將其用於系統編程而不是應用程序開發。 AWS使用Rust構建了基於Linux的容器操作系統Bottlerocket。

在Android方面，Google在過去一年中修復的絕大多數錯誤都發生在媒體，藍牙和NFC組件中。媒體庫是受Google在2015年披露的Android中嚴重且可遠程利用的Stagefright錯誤影響的關鍵組件。

根據Google的說法，其為強化Android中的媒體服務器框架所做的努力意味著，到2020年，它沒有收到有關Android媒體框架中可遠程利用的關鍵漏洞的單個報告。

Google還詳細考慮了工程師在考慮向Android添加哪些其他緩解措施時會權衡的一些安全性和性能損失。由於需要Android支持廉價的Android手機，這一決定變得很複雜。

除了內存安全語言之外，Android中的一些緩解措施還包括沙箱，地址空間佈局隨機化（ASLR），控制流完整性（CFI），Stack Canaries和內存標記。