移动操作系统比过去的桌面操作系统安全得多,这要归功于对安全性的日益关注以及对应用程序可以做什么的更严格的限制。事实上,Android 已经变得如此难以破解,以至于安全研究人员通常甚至不再尝试攻击操作系统本身。谷歌表示,他们转而关注手机的固件——在 SoC 上的单个芯片和控制器内的“裸机”上运行的软件。这就是该公司本周宣布的一些新举措。
在一篇博文中,谷歌解释说,它正在与生态系统合作伙伴合作,以加强与 Android 交互的固件的安全性。该公司指出基于编译器的消毒剂,如 BoundSan 和 IntSan,以及更多旨在防止漏洞利用的缓解措施。该公司还希望为固件添加更多内存安全功能,例如自动初始化内存。
正如谷歌解释的那样,固件强化的问题在于它需要取得适当的平衡,因此不会对性能造成太大影响。由于固件通常使用比托管 Android 的应用程序处理器少得多的内存和处理能力,因此安全修复会显着增加内存使用并降低性能。我们已经在英特尔 2018 年桌面计算机上的 Meltdown 和 Spectre 漏洞中看到了类似的情况,这些漏洞只能通过对处理器性能产生重大影响来修复。谷歌正专注于最暴露的攻击面,如蜂窝基带和 Wi-Fi 芯片,这些攻击面很容易在没有物理访问设备的情况下受到攻击。
谷歌致力于创造更安全环境的另一个领域是内存安全。该公司用Rust重写了Android 13的大部分内容,Rust 是一种内存安全的编程语言,本质上是安全的,不会受到使用内存的攻击,该公司希望在未来的 Android 版本中继续使用它。正如为 XDA 撰稿的 Mishaal Rahman所发现的那样,Android 14 可能会进一步改变内存安全。
谷歌进一步重申,随着 Android 13 的发布,它更新了漏洞奖励计划的严重性指南,更加强调可远程利用的漏洞。该公司希望这将导致第三方研究人员在这些领域做出更多贡献。
您可能永远不会注意到日常使用中的所有这些增强功能,这是一件好事。只要安全措施按预期发挥作用,您在使用自己喜欢的 Android 手机时就不会注意到任何性能下降或安全问题.
标签:
免责声明:本文由用户上传,如有侵权请联系删除!