Google fait état d'une baisse des vulnérabilités liées à la sécurité de la mémoire sur Android à mesure que l'utilisation de Rust augmente,

Elles seraient passées de 223 en 2019 à 85 en 2022

Dans une étude publiée jeudi, Google a déclaré que les vulnérabilités liées à la sécurité de la mémoire sur Android sont en constante baisse depuis la prise en charge de Rust par le projet Android Open Source Project (AOSP). Plus précisément, le nombre de vulnérabilités annuelles liées à la sécurité de la mémoire serait passé de 223 à 85 entre 2019 et 2022. Elles représentent désormais 35 % du total des vulnérabilités d'Android contre 76 % il y a quatre ans. En outre, Google a fait remarquer que "2022 est la première année où les vulnérabilités de sécurité de la mémoire ne représentent pas une majorité des vulnérabilités d'Android".

Impacts de la prise en charge de Rust pour le développement d'Android

« Depuis plus de dix ans, les vulnérabilités liées à la sécurité de la mémoire ont toujours représenté plus de 65 % des vulnérabilités dans l'ensemble des produits et de l'industrie. Sur Android, nous observons désormais quelque chose de différent : une baisse significative des vulnérabilités liées à la sécurité de la mémoire et une baisse associée de la gravité de nos vulnérabilités », note Google. L'étude a examiné les vulnérabilités signalées dans le bulletin de sécurité Android, qui comprend les vulnérabilités critiques/de haute gravité signalées par le biais de notre programme de récompense des vulnérabilités (VRP) et les vulnérabilités signalées en interne.

Jeffrey Vander Stoep de Google a rapporté que cet examen a révélé que le nombre de vulnérabilités de sécurité de la mémoire a considérablement diminué au cours des dernières années/versions. Comme le montre le graphique ci-dessous, de 2019 à 2022, le nombre annuel de vulnérabilités de sécurité de la mémoire serait passé de 223 à 85. Il note que cette baisse coïncide avec un changement dans l'utilisation des langages de programmation, qui délaissent les langages non sécurisés en matière de mémoire. Android 13 est la première version d'Android où la majorité du nouveau code ajouté à la version est dans un langage à mémoire sécurisée.


Comme la quantité de nouveau code non sécurisé par la mémoire entrant dans Android a diminué, le nombre de vulnérabilités de sécurité de la mémoire a également diminué. Selon l'étude, 2019 à 2022, il serait passé de 76 % à 35 % du total des vulnérabilités d'Android. C'est la première que les vulnérabilités de sécurité liées à la mémoire ne représentent pas la majorité des vulnérabilités d'Android. Rust représente 21 % de l'ensemble du nouveau code natif d'Android 13, y compris la pile Ultra-wideband (UWB), le DNS sur HTTP3, Keystore2, le framework de virtualisation d'Android (AVF) et "divers autres composants et leurs dépendances open source."

Google considère qu'il est significatif qu'il n'y ait eu aucune vulnérabilité de sécurité mémoire découverte dans le code Rust d'Android jusqu'à présent dans Android 12 et 13. « Bien qu'une corrélation ne signifie pas nécessairement un lien de causalité, il est intéressant de noter que le pourcentage de vulnérabilités causées par des problèmes de sécurité de la mémoire semble être en corrélation assez étroite avec le langage de développement utilisé pour le nouveau code. Bien sûr, il peut y avoir d'autres facteurs contributifs ou des explications alternatives », indique Stoep de Google dans un billet de blogue publié jeudi.

« La densité historique des vulnérabilités est supérieure à 1/kLOC (1 vulnérabilité par millier de lignes de code) dans de nombreux composants C/C++ d'Android (par exemple, médias, Bluetooth, NFC, etc.). Sur la base de cette densité de vulnérabilité historique, il est probable que l'utilisation de Rust a déjà empêché des centaines de vulnérabilités d'atteindre la production. L'utilisation de Rust dans Android nous permet d'optimiser la sécurité et la santé du système avec moins de compromis », a déclaré Google. L'entreprise a mis en avant les gains de mémoire obtenus avec la nouvelle pile UWB et la nouvelle implémentation DNS-over-HTTP/3.


En outre, ce changement...