پذیرش رست، درصد باگ‌های ایمنی حافظه در اندروید را برای اولین بار به زیر ۲۰٪ رساند

از /

گوگل اعلام کرد که ادامه‌دار بودن استفاده از زبان برنامه‌نویسی رست در اندروید منجر به کاهش تعداد آسیب‌پذیری‌های ایمنی حافظه به زیر ۲۰٪ از کل آسیب‌پذیری‌ها برای اولین بار شده است.

«ما رست را به‌دلیل امنیتش اتخاذ کردیم و نسبت به کدهای C و C++ اندروید، چگالی آسیب‌پذیری‌های ایمنی حافظه را ۱۰۰۰ برابر کاهش داده‌ایم. اما بزرگ‌ترین شگفتی اثر رست بر تحویل نرم‌افزار بود»، جف ون‌در استوپ از گوگل گفت. «با تغییرات رست که نرخ بازگشت (rollback) آن چهار برابر کمتر و زمان بررسی کد ۲۵٪ کمتر است، مسیر ایمن هم‌اکنون سریع‌تر هم است.»

این پیشرفت تقریباً یک‌سال پس از آن‌ که غول فناوری اعلام کرد انتقال به رست منجر به کاهش آسیب‌پذیری‌های ایمنی حافظه از ۲۲۳ مورد در سال ۲۰۱۹ به کمتر از ۵۰ مورد در سال ۲۰۲۴ شده است، به دست آمد.

خدمات DFIR

شرکت تأکید کرد که کدهای رست نسبت به معادل‌های C++ خود حدود ۲۰٪ بازنگری کمتر می‌طلبند و این امر به کاهش نرخ بازگشت (rollback) منجر شده و در نتیجه بهره‌وری کلی توسعه را ارتقا می‌دهد.

گوگل همچنین برنامه دارد تا «مزایای امنیتی و بهره‌وری» رست را به بخش‌های دیگر اکوسیستم اندروید، از جمله هسته، firmware و برنامه‌های کلیدی اولیه‌نقش مانند Nearby Presence، Message Layer Security (MLS) و Chromium که تجزیه‌گرهای آن برای PNG، JSON و فونت‌های وب را با پیاده‌سازی‌های ایمن حافظه در رست جایگزین کرده است، گسترش دهد.

علاوه بر این، این شرکت بر لزوم رویکرد دفاع لایه‌ای تأکید کرد و بیان کرد که ویژگی‌های داخلی ایمنی حافظه این زبان تنها بخشی از یک استراتژی جامع ایمنی حافظه است.

به‌عنوان مثال، گوگل کشف خود از یک آسیب‌پذیری ایمنی حافظه (CVE‑2025‑48530، امتیاز CVSS : ۸٫۱) در CrabbyAVIF، یک تجزیه‌گر/کد‌کننده AVIF (فایل تصویر AV1) نوشته شده با رست ناامن، که می‌توانست منجر به اجرای کد از راه دور شود، را برجسته کرد. در حالی‌که این‌خطای overflow بوفری خطی هرگز در انتشار عمومی ظاهر نشد، این آسیب‌پذیری توسط گوگل به‌عنوان بخشی از به‌روزرسانی امنیتی اندروید برای ماه آگوست ۲۰۲۵ رفع شد.

کیت‌های ساخت CIS

تحلیل بیشتر آسیب‌پذیری «نزدیک به رخداد» نشان داد که این آسیب‌پذیری توسط Scudo، تخصیص‌گر پویا حافظه در حالت کاربری اندروید که برای مقابله با آسیب‌پذیری‌های مرتبط با هپ مانند overflow بوفری، استفاده پس از آزادسازی و دو بار آزادسازی طراحی شده است، غیرقابل سوءاستفاده شد و بدون کاهش کارایی عمل می‌کند.

گوگل با تأکید بر اینکه رست ناامن «در حقیقت بسیار ایمن است»، گفت که چگالی آسیب‌پذیری‌ها به‌طور قابل توجهی نسبت به C و C++ کمتر است و افزود که استفاده از یک بلوک کد «unsafe» در رست به‌طور خودکار چک‌های ایمنی این زبان را غیرفعال نمی‌کند.

گوگل افزود: «در حالی که C و C++ همچنان پابرجا خواهند ماند و هر دو مکانیزم‌های ایمنی نرم‌افزاری و سخت‌افزاری برای دفاع لایه‌ای حیاتی هستند، انتقال به رست روش متفاوتی است که مسیر ایمن‌تر نه تنها به‌صورت قابل‌تأیید کارآمدتر است، بلکه به‌وضوح کارایی بالاتری را به ارمغان می‌آورد.»

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا