به‌کارگیری رست، برای اولین بار، درصد مشکلات ایمنی حافظه در اندروید را به زیر ۲۰٪ رساند

از /

گوگل اعلام کرد که ادامه استفاده از زبان برنامه‌نویسی رست در اندروید، باعث شد تعداد آسیب‌پذیری‌های ایمنی حافظه برای اولین بار به زیر ۲۰٪ از کل آسیب‌پذیری‌ها برسد.

«ما رست را به‌دلیل امنیتش به کار گرفتیم و نسبت به کدهای C و C++ اندروید، چگالی آسیب‌پذیری‌های ایمنی حافظه را به‌طور ۱۰۰۰‌برابری کاهش داده‌ایم. اما بزرگ‌ترین تعجب، تأثیر رست بر تحویل نرم‌افزار بود»، جف ون‌در استوپ از گوگل گفت. «با تغییرات رست که نرخ بازگرداندن (rollback) آن ۴ برابری کمتر است و زمان بررسی کد ۲۵٪ کمتر صرف می‌شود، مسیر امن اکنون مسیر سریع‌تر هم شده است.»

این پیشرفت کمی بیش از یک‌سال پس از آن به‌دست آمد که غول فناوری اعلام کرد تغییر به رست باعث کاهش آسیب‌پذیری‌های ایمنی حافظه از ۲۲۳ مورد در سال ۲۰۱۹ به کمتر از ۵۰ مورد در سال ۲۰۲۴ شد.

خدمات مشاوره DFIR

شرکت اشاره کرد که کدهای رست نیاز به بازنگری‌های کمتری دارند؛ حدود ۲۰٪ بازنگری کمتر نسبت به معادل‌های C++ خود، و این امر به کاهش نرخ بازگرداندن (rollback) کمک کرده و در نتیجه بازدهی کلی توسعه را بهبود بخشیده است.

گوگل همچنین اعلام کرد که قصد دارد مزایای «امنیت و بهره‌وری» رست را به بخش‌های دیگر اکوسیستم اندروید گسترش دهد، از جمله هسته، فریم‌ویر و برنامه‌های اصلی داخلی مانند Nearby Presence، Message Layer Security (MLS) و Chromium که پارسرهای PNG، JSON و قلم‌های وب آن با پیاده‌سازی‌های ایمن از نظر حافظه به زبان رست جایگزین شده‌اند.

علاوه بر این، به ضرورت رویکرد دفاع لایه‌ای تأکید کرده و بیان کرد که ویژگی‌های امنیتی حافظه‌ی تعبیه‌شده در زبان برنامه‌نویسی، تنها بخشی از یک استراتژی جامع ایمنی حافظه هستند.

به‌عنوان مثال، گوگل کشف خود از یک آسیب‌پذیری امنیتی حافظه (CVE‑2025‑48530، امتیاز CVSS: ۸.۱) در CrabbyAVIF، یک پیاده‌سازی تجزیه/کدگشایی AVIF (فایل تصویر AV1) نوشته به‌صورت unsafe در رست، را برجسته کرد؛ این آسیب‌پذیری می‌توانست منجر به اجرای کد از راه دور شود. اگرچه این خطای overflow بافر خطی هرگز در نسخه عمومی حضور نیافت، اما توسط گوگل به‌عنوان بخشی از به‌روزرسانی امنیتی اندروید برای آگوست ۲۰۲۵ رفع شد.

کیت‌های ساخت CIS

تحلیل بیشتر آسیب‌پذیری «نزدیک به‌خطا» نشان داد که این مشکل با استفاده از Scudo، یک تخصیص‌گر حافظه پویا در حالت کاربری در اندروید که برای مقابله با آسیب‌پذیری‌های heap مانند overflow بافر، استفاده پس از آزادسازی (use‑after‑free) و آزادسازی دوگانه (double free) طراحی شده است، غیرقابل بهره‌برداری شد؛ بدون اینکه کارآیی به‌قربان رود.

گوگل با تأکید بر اینکه رست unsafe «در واقع بسیار ایمن است»، اعلام کرد که چگالی آسیب‌پذیری‌ها به‌مراتب کمتر از C و C++ است و افزود که افزودن یک بلوک کد «unsafe» در رست، به‌طور خودکار بررسی‌های ایمنی زبان برنامه‌نویسی را غیرفعال نمی‌کند.

اگرچه C و C++ همچنان باقی خواهند ماند و هر دو مکانیزم ایمنی نرم‌افزاری و سخت‌افزاری برای دفاع لایه‌ای حیاتی هستند، گذار به رست رویکرد متفاوتی است که در آن مسیر امن‌تر به‌صورت واضح کارآمدتر نیز است، این‌گونه گفت.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا