به‌کارگیری رست، برای اولین بار، خطاهای امنیتی حافظه اندروید را به زیر ۲۰٪ کاهش داد

از /

گوگل اعلام کرد که ادامه استفاده از زبان برنامه‌نویسی رست در اندروید باعث شد تعداد آسیب‌پذیری‌های امنیتی حافظه برای اولین بار به زیر ۲۰٪ از کل آسیب‌پذیری‌ها برسد.

“ما رست را به‌خاطر امنیت‌اش به کار گرفتیم و در مقایسه با کدهای C و C++ اندروید، چگالی آسیب‌پذیری‌های امنیت حافظه را هزار برابر کاهش دادیم. اما شگفت‌انگیزترین نکته تأثیر رست بر تحویل نرم‌افزار بود”، جف وندر استوپ از گوگل گفت. “با تغییرات رست، نرخ بازگشت (rollback) چهار برابر کمتر است و در مرور کد ۲۵٪ زمان کمتر صرف می‌شود؛ مسیر ایمن اکنون همچنین سریع‌تر است.”

این پیشرفت حدود یک سال پس از آن که این غول فناوری اعلام کرد انتقال به رست باعث کاهش آسیب‌پذیری‌های امنیت حافظه از ۲۲۳ مورد در سال ۲۰۱۹ به کمتر از ۵۰ مورد در سال ۲۰۲۴ شد، رخ داد.

خدمات نگهداری DFIR

شرکت اشاره کرد که کدهای رست به بازنگری‌های کمتری نیاز دارند؛ به‌طوری‌که حدود ۲۰٪ بازنگری کمتر نسبت به همتایان C++ آن‌ها دارد و این منجر به کاهش نرخ بازگشت (rollback) شده و در نتیجه بهره‌وری کلی توسعه را بهبود می‌بخشد.

گوگل همچنین اعلام کرد که قصد دارد “مزایای امنیتی و بهره‌وری” رست را به بخش‌های دیگر اکوسیستم اندروید گسترش دهد، از جمله هسته، firmware و برنامه‌های کلیدی اولین‌طرفی همچون Nearby Presence، Message Layer Security (MLS) و Chromium که تجزیه‌کننده‌های PNG، JSON و فونت‌های وب آن با پیاده‌سازی‌های ایمن حافظه در رست جایگزین شده‌اند.

علاوه بر این، نیاز به رویکرد دفاع عمیق (defense‑in‑depth) را مورد تأکید قرار داد و بیان کرد که ویژگی‌های امنیت حافظه داخلی این زبان تنها یک بخش از یک استراتژی جامع امنیت حافظه است.

به‌عنوان مثال، گوگل کشف یک آسیب‌پذیری امنیت حافظه (CVE-2025-48530، امتیاز CVSS: ۸.۱) در CrabbyAVIF، یک پیاده‌سازی تجزیه‌گر/کدگذار AVIF (فایل تصویر AV1) به‌صورت unsafe در رست، که می‌توانست منجر به اجرای کد از راه دور شود، را برجسته کرد. در حالی که این خطای overflow بافر خطی هرگز در نسخه عمومی گنجانده نشد، توسط گوگل در چارچوب به‌روزرسانی امنیتی اندروید برای ماه اوت ۲۰۲۵ رفع شد.

کیت‌های ساخت CIS

تحلیل بیشتر آسیب‌پذیری “نزدیک به نقص” نشان داد که توسط Scudo، یک تخصیص‌گر حافظه پویا در حالت کاربری برای اندروید که برای مقابله با آسیب‌پذیری‌های مرتبط با هیپ مانند overflow بافر، استفاده پس از آزادسازی و آزادسازی دوگانه طراحی شده است، غیرقابل سوءاستفاده شد؛ بدون اینکه عملکرد کاهش یابد.

گوگل با تأکید بر اینکه رست unsafe “در واقع بسیار ایمن” است، گفت که چگالی آسیب‌پذیری‌ها نسبت به C و C++ به‌طرز قابل‌توجهی کمتر است و افزود که افزودن یک بخش کد “unsafe” در رست به‌طور خودکار چک‌های ایمنی این زبان برنامه‌نویسی را غیرفعال نمی‌کند.

“در حالی که C و C++ همچنان وجود خواهند داشت و هر دو مکانیزم ایمنی نرم‌افزاری و سخت‌افزاری برای دفاع لایه‌ای حیاتی هستند، گذار به رست رویکرد متفاوتی است که در آن مسیر ایمن‌تر به‌صورت آشکار کارآمدتر است”، این شرکت گفت.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا