Rust améliore la sécurité d'Android 13, selon Google
lun, 05/12/2022 - 15:35
Par la plume de Jeffrey Vander Stoep, Google rappelle que depuis plus d'une décennie, les vulnérabilités de la sécurité de la mémoire représentent systématiquement plus de 65 % des vulnérabilités des produits et de l'industrie. Mais il en va différemment en ce qui concerne Android, d'après le même auteur, qui souligne que le nombre de vulnérabilités de sécurité de la mémoire a considérablement diminué au cours des dernières années/versions. De 2019 à 2022, le nombre annuel de failles de sécurité de la mémoire est passé de 223 à 85.
Pour Jeffrey Vander Stoep, cette baisse coïncide avec un changement dans l'utilisation des langages de programmation. Android 13 est la première version d'Android où la majorité du nouveau code ajouté à la version est dans un langage sécurisé pour la mémoire, le langage Rust en l'occurrence.
Dans le contexte Android 12, Google avait annoncé la prise en charge du langage de programmation Rust dans la plate-forme Android en tant qu'alternative sécurisée en mémoire à C/C++. Depuis lors, Mountain view a étendu son expérience et son utilisation de Rust au sein du projet Android Open Source (AOSP). L'objectif n'état pas de convertir le C/C++ existant en Rust, mais plutôt de déplacer le développement du nouveau code vers des langages sécurisés en mémoire au fil du temps.
Dans Android 13, environ 21 % de tout le nouveau code natif (C/C++/Rust) est en Rust. Il y a environ 1,5 million de lignes de code Rust au total dans AOSP à travers de nouvelles fonctionnalités et composants tels que Keystore2, la nouvelle pile ultra-large bande (UWB), DNS-over-HTTP3, le cadre de virtualisation Android (AVF) et divers autres composants et leur dépendances open source. Ce sont des composants de bas niveau qui nécessitent un langage système qui, autrement, aurait été implémenté en C++.
Le reste de ce billet, qui est un satisfecit comme Google sait en produire, est néanmoins intéressant, et mérite d'être lu ici. Toujours selon l'auteur, à ce jour, aucune vulnérabilité de sécurité de la mémoire n'a été découverte dans le code Rust d'Android.
