توضیحات گوگل دربارهی روشهای افزایش امنیت اندروید
مجازیست–امنیت یکی از مهمترین عوامل برای کاربران دنیای فناوری است؛ به همین دلیل گوگل دربارهی شیوهی بهبود امنیت اندروید و اقداماتی که برای مقابله با تهدیدات معمول انجام میشود، اخیرا توضیحاتی ارائه کرده است.
براساس گزارش ZDnet، گوگل فاش کرده است که ۵۹ درصد آسیبپذیریهای امنیتی حیاتی که سیستم عامل اندروید را تحت تأثیر قرار میدهند، مشکلات حافظه هستند. مسائل ایمنی حافظه با بالاترین رده از مهمترین آسیبپذیری امنیتی هستند و به دنبال آن، مشکلات مجوزهای بایپس وجود دارند. در واقع ۲۱ درصد مسائلی که مهندسان امنیتی گوگل در سال ۲۰۱۹ برطرف کردهاند، گزینه دوم تشکیل میدهد.
مشکلات حافظه معمولاً بالاترین رده نقص امنیتی در پلتفرمهای بزرگ مانند جاوا، ویندوز ۱۰ و کروم است. مهندسان گوگل سال گذشته گفتند ۷۰ درصد از آسیبپذیری امنیتی کروم، مشکلات ایمنی حافظه است. پیش از این مهندسان مایکروسافت گفته بودند ۷۰ درصد از اشکالات رفعشده در محصولات این شرکت مربوط به آسیبپذیری امنیتی حافظه یا مشکلات نرمافزاری است. این باگها باعث میشود امکان دسترسی بیش از حد به حافظه وجود داشته باشد.
بهتازگی گوگل گفته است در حال ترغیب توسعهدهندگان به استفاده از زبانهای برنامه نویسی امن حافظه مانند جاوا، کوتلین و Rust است، اما در عین حال تلاش میکند ایمنی C و ++C را بهبود ببخشد. موارد ذکرشده بخشی از تلاشهای این شرکت برای ایمن کردن هرچه بیشتر اندروید و محافظت از این سیستم عامل در برابر بدافزارها و سودجویان است.
گوگل با انتشار پستی، از تیم امنیت و حریم خصوصی اندروید در وبسایت خود:
- زبانهای C و ++C ایمنی حافظه را به روشی که زبانهایی مانند جاوا، کوتلین و Rust ارائه میدهند، فراهم نمیکنند. با توجه به اینکه بیشتر آسیبپذیریهای امنیتی گزارششده در اندروید مشکلات ایمنی مربوط به حافظه است، از رویکردی دوگانه استفاده میشود: بهبود هرچه بیشتر امینی زبانهای برنامهنویسی C و ++C و تشویق استفادهی بیشتر از دیگر زبانهای موجود که در بخش حافظه امن هستند.
- تلاش برای قدرتمندتر کردن فریمورک مدیا در اندروید به این معنی است که این شرکت در سال ۲۰۲۰ حتی یک گزارش از آسیبپذیریهای مهم و جدی در این بخش دریافت نکرده است.
- به غیر از زبانهای برنامهنویسی ایمن، راههای دیگری برای رفع آسیبپذیریهای امنیتی وجود دارد که از آن جمله میتوان به لایه امنیتی سندباکس اشاره کرد.
- اضافه کردن بیش از حد موارد مختلف به برخی از اجزای سازنده یا کل سیستم، میتواند باعث کاهش عمر باتری و پاسخگویی کمتر دستگاه و در نتیجه تجربه منفی کاربران شود. این امر خصوصاً در مورد دستگاههای سطح پایین که باید در بخش امنیت نیز اصلاح شوند، صادق است. بنابراین تلاش ما این است که بتوانیم آسیبپذیریهای امنیتی را با گزینههای بهتر و مقبولتری رفع کنیم.
خدمات وب آمازون (AWS) و مایکروسافت نیز به همان دلایل امنیتی، در حال تشویق توسعهدهندگان برای استفاده از Rust هستند. موزیلا این زبان برنامهنویسی را به منظور مقابله با مسائل امنیتی مربوط به حافظه ++C در موتور Gecko برای فایرفاکس ایجاد کرد. نسخه ۱٫۰ Rust در سال ۲۰۱۵ منتشر شد؛ اما هنوز به حد نسبتا کمی از سوی دیگران پذیرفته شده است. مایکروسافت بیشتر از اینکه به دنبال توسعه برنامهباشد، به برنامهنویسی سیستم توجه میکند. AWS از زبان مذکور برای ساخت Bottlerocket، سیستم عامل مبتنی بر لینوکس استفاده کرد.
اکثر قریب به اتفاق اشکالاتی که گوگل در سال گذشته برطرف کرده مربوط به مدیا، بلوتوث و مولفههای NFC است. گوگل در سال ۲۰۱۵ فاش کرد که کتابخانه مدیا، یکی از گزینههای اصلی بود که تحت تأثیر اشکال امنیتی Stagefright قرار گرفت.
/زومیت/