Principais conclusões
- As novas práticas de código do Google reduziram as vulnerabilidades relacionadas à memória do Android de 76% para 24% em seis anos.
- O Google enfatiza a codificação segura para evitar vulnerabilidades de memória, fazendo a transição para linguagens como Rust.
- Priorizar práticas de código seguro levará a benefícios de longo prazo para usuários e desenvolvedores do Android.
Manter-se seguro on-line com os riscos modernos de segurança cibernética depende de sua cautela e diligência antes de confiar em links da web e aplicativos. No entanto, nossos amigos do XDA atestam que recursos de hardware seguros, como ECC para RAM do dispositivo, são essenciais para aplicativos críticos e, mesmo de outra forma, são bons de se ter, dado seu impacto insignificante no desempenho. O Google acredita que o mesmo é verdade para o código no Android e acabou de compartilhar como novas práticas de codificação ajudaram a reduzir as vulnerabilidades relacionadas à memória do aplicativo do Android de 76% para apenas 24% em seis anos.
A maneira como o AOSP é codificado determina diretamente a facilidade com que atores mal-intencionados podem acessar o código e inserir elementos maliciosos nele, o que pode ser qualquer coisa, desde malware para roubo de informações até ransomware. Uma parte desses riscos decorre de vulnerabilidades de memória, onde o código de aplicativo manipulado pode dar aos atores da ameaça acesso não autorizado à memória do seu dispositivo, e as novas diretrizes de Codificação Segura do Google podem ajudar muito a proteger seu sistema operacional.
O Google está em transição para novas linguagens de código como Rust para reduzir a dependência de código inseguro para memória. No entanto, a empresa também destaca pesquisas que mostram que as vulnerabilidades diminuem enquanto a adoção de linguagens inseguras para memória cresce. Isso ocorre porque esses problemas geralmente são limitados a novos códigos, causando um declínio exponencial no risco conforme a adoção aumenta. Isso significa que, desde que o novo código seja tornado mais seguro, os benefícios aumentarão exponencialmente conforme os bugs nele contidos forem corrigidos e a base de código amadurecer.
Priorizando a prevenção para manter a memória segura
Essa abordagem que enfatiza a segurança do novo código pode representar desafios inicialmente, mas terá benefícios a longo prazo. Esses esforços já estão dando frutos no Android, onde práticas de código de memória segura são preferidas desde 2019. O Google compartilhou muitos dados em um blog de desenvolvedor detalhando a mudança e suas vantagens.
Fonte: Google
Embora essa mudança no nível do código não deva ter impacto no usuário médio do Android, isso pode significar que os desenvolvedores e a equipe do Android do Google não terão que se envolver em combate a incêndios de última hora com atualizações de software, atualizações do sistema Play e patches de aplicativos tanto quanto antes. Em qualquer caso, o Google diz que o AOSP já está bem abaixo do limite de 70% da indústria de vulnerabilidades inseguras de memória.
