Google chuyển sang lập trình Rust giúp giảm 68% lỗ hổng bộ nhớ Android

www.tuoitre.vn -   23/09/2024 08:00:00 60

Google đã tiết lộ rằng quá trình chuyển đổi sang các ngôn ngữ an toàn cho bộ nhớ như Rust như một phần của phương pháp tiếp cận bảo mật theo thiết kế đã khiến tỷ lệ lỗ hổng an toàn cho bộ nhớ được phát hiện trong Android giảm từ 76% xuống 24% trong khoảng thời gian sáu năm.

Google chuyển sang lập trình Rust giúp giảm 68% lỗ hổng bộ nhớ Android

Gã khổng lồ công nghệ cho biết việc tập trung vào Mã hóa an toàn cho các tính năng mới không chỉ làm giảm rủi ro bảo mật chung của cơ sở mã mà còn giúp việc chuyển đổi trở nên "có khả năng mở rộng và tiết kiệm chi phí" hơn.

Cuối cùng, điều này dẫn đến sự sụt giảm các lỗ hổng an toàn cho bộ nhớ khi quá trình phát triển không an toàn cho bộ nhớ mới chậm lại sau một khoảng thời gian nhất định và quá trình phát triển an toàn cho bộ nhớ mới tiếp quản, Jeff Vander Stoep và Alex Rebert của Google cho biết trong một bài đăng được chia sẻ với The Hacker News.

Có lẽ thú vị hơn nữa là số lượng lỗ hổng an toàn cho bộ nhớ có xu hướng giảm mặc dù số lượng mã không an toàn cho bộ nhớ mới tăng lên.

Nghịch lý này được giải thích bởi thực tế là các lỗ hổng giảm theo cấp số nhân, với một nghiên cứu phát hiện ra rằng một số lượng lớn lỗ hổng thường nằm trong mã mới hoặc mã được sửa đổi gần đây.

"Vấn đề chủ yếu là với mã mới, đòi hỏi phải có sự thay đổi cơ bản trong cách chúng ta phát triển mã", Vander Stoep và Rebert lưu ý. "Mã ngày càng hoàn thiện và an toàn hơn theo thời gian, theo cấp số nhân, khiến lợi nhuận đầu tư như viết lại giảm dần theo thời gian khi mã cũ hơn".

Google, công ty chính thức công bố kế hoạch hỗ trợ ngôn ngữ lập trình Rust trong Android vào tháng 4 năm 2021, cho biết họ đã bắt đầu ưu tiên chuyển đổi phát triển mới sang ngôn ngữ an toàn cho bộ nhớ vào khoảng năm 2019.

Do đó, số lượng lỗ hổng an toàn bộ nhớ được phát hiện trong hệ điều hành đã giảm từ 223 vào năm 2019 xuống còn dưới 50 vào năm 2024.

Lập trình Rust

Cũng không cần phải nói rằng phần lớn sự giảm thiểu các lỗ hổng như vậy là nhờ vào những tiến bộ trong các cách được đưa ra để chống lại chúng, chuyển từ vá lỗi phản ứng sang giảm thiểu chủ động và phát hiện lỗ hổng chủ động bằng các công cụ như trình khử trùng Clang.

Gã khổng lồ công nghệ này lưu ý thêm rằng các chiến lược an toàn bộ nhớ nên phát triển hơn nữa để ưu tiên "phòng ngừa đảm bảo cao" bằng cách kết hợp các nguyên tắc bảo mật theo thiết kế, đưa bảo mật vào chính nền tảng.

"Thay vì tập trung vào các biện pháp can thiệp được áp dụng (giảm thiểu, làm mờ) hoặc cố gắng sử dụng hiệu suất trong quá khứ để dự đoán bảo mật trong tương lai, Safe Coding cho phép chúng tôi đưa ra các khẳng định mạnh mẽ về các thuộc tính của mã và những gì có thể hoặc không thể xảy ra dựa trên các thuộc tính đó", Vander Stoep và Rebert cho biết.

Không chỉ có vậy. Google cho biết họ cũng đang tập trung vào việc cung cấp khả năng tương tác giữa Rust, C++ và Kotlin, thay vì viết lại mã, như một "phương pháp thực tế và gia tăng" để áp dụng các ngôn ngữ an toàn bộ nhớ và cuối cùng là loại bỏ toàn bộ các lớp lỗ hổng.

"Việc áp dụng Safe Coding trong mã mới mang lại sự thay đổi mô hình, cho phép chúng tôi tận dụng sự suy giảm vốn có của các lỗ hổng để có lợi cho mình, ngay cả trong các hệ thống hiện có lớn", Google cho biết.

"Khái niệm này rất đơn giản: khi chúng ta khóa vòi các lỗ hổng mới, chúng sẽ giảm theo cấp số nhân, giúp toàn bộ mã của chúng ta an toàn hơn, tăng hiệu quả của thiết kế bảo mật và giảm bớt các thách thức về khả năng mở rộng liên quan đến các chiến lược bảo mật bộ nhớ hiện có để chúng có thể được áp dụng hiệu quả hơn theo cách có mục tiêu."

Sự phát triển này diễn ra khi Google chào hàng sự hợp tác chặt chẽ hơn với các nhóm kỹ thuật bảo mật sản phẩm và bộ xử lý đồ họa (GPU) của Arm để đánh dấu nhiều điểm yếu và nâng cao tính bảo mật tổng thể của ngăn xếp phần mềm/phần mềm GPU trên toàn bộ hệ sinh thái Android.

Điều này bao gồm việc phát hiện ra hai sự cố bộ nhớ trong tùy chỉnh mã trình điều khiển của Pixel (CVE-2023-48409 và CVE-2023-48421) và một sự cố khác trong phần mềm GPU Arm Valhall và phần mềm kiến ​​trúc GPU thế hệ thứ 5 (CVE-2024-0153).

"Kiểm tra chủ động là biện pháp vệ sinh tốt vì nó có thể dẫn đến việc phát hiện và giải quyết các lỗ hổng mới trước khi chúng bị khai thác", Google và Arm cho biết.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 51
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 57
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 53
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 83
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 57
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 84
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

LIÊN HỆ

Thông tin liên hệ