Android, l'approccio Secure By Design dà i suoi frutti: cosa è emerso nell'ultimo report

In un quinquennio, Google ha ridotto del 68% le vulnerabilità legate alla sicurezza della memoria su Android. La strategia adottata combina l'uso di linguaggi di programmazione sicuri per il nuovo codice e un approccio cauto nella gestione del codice esistente.
di Nino Grasso pubblicata il 26 Settembre 2024, alle 14:51 nel canale TelefoniaGoogleAndroid
Android ha compiuto notevoli progressi nella riduzione delle vulnerabilità legate alla sicurezza della memoria. È quanto emerge nell'ultimo report di Google, in cui si parla di una diminuzione del 68% dei difetti di sicurezza della memoria nell'arco di cinque anni, dal 2019 al 2024.
Le statistiche rivelano un calo significativo: la percentuale di vulnerabilità Android causate da problemi di sicurezza della memoria è passata dal 76% nel 2019 a solo il 24% nel 2024. Questi risultati posizionano Android al di sotto della soglia del 70% precedentemente riscontrata in Chromium, dimostrando come un progetto enorme possa migliorare gradualmente la propria sicurezza senza compromettere la compatibilità con le versioni precedenti.
Su Android solo il 24% delle vulnerabilità sono causate da problemi di sicurezza nella memoria
La strategia adottata da Google si basa su due pilastri fondamentali: il primo consiste nel dare priorità all'utilizzo di linguaggi di programmazione sicuri per la memoria, come Rust, quando si introduce nuovo codice; il secondo riguarda la gestione del codice esistente. Anziché optare per una riscrittura completa, che potrebbe minare l'interoperabilità del sistema, Google ha scelto di mantenere il vecchio codice con modifiche minime, concentrandosi sulle correzioni di sicurezza più critiche.
Questa strategia ha portato, secondo l'azienda, a una drastica riduzione dei difetti di memoria nella piattaforma mobile. Google sottolinea che, contrariamente a quanto si potrebbe pensare, il codice meno recente tende a diventare più sicuro nel tempo, mentre il nuovo codice è più soggetto a introdurre problemi di sicurezza. L'approccio di Google è passato attraverso quattro fasi, come del resto avvenuto anche per le realtà concorrenti: nella prima fase le diverse aziende si concentravano sulla correzione delle vulnerabilità dopo la loro scoperta; poi sono passate a implementare strategie per rendere più difficile l'exploit delle falle, per poi cercare di realizzare e sfruttare strumenti per rilevare proattivamente le vulnerabilità. Un metodo utile, quest'ultimo, ma che affrontava solo i sintomi senza curarsi della prevenzione.
Ed è proprio su questo aspetto che si basa l'ultima strategia, definita "secure by design", di Google e del settore della sicurezza. Come già detto, l'azienda adesso enfatizza la prevenzione delle vulnerabilità utilizzando linguaggi sicuri per la memoria, metodo che offre una garanzia a lungo termine interrompendo la necessità di basarsi su correzioni reattive e mitigazioni costose.
Anche la Cybersecurity and Infrastructure Security Agency (CISA) americana ha evidenziato l'importanza di incorporare pratiche di sicurezza fin dalla progettazione per spezzare il circolo vizioso di creazione e applicazione costante di correzioni. Tuttavia, la stessa Agenzia ha segnalato che il 52% dei progetti open source più utilizzati impiega ancora linguaggi non sicuri per la memoria, e che anche i progetti scritti in linguaggi sicuri spesso dipendono da componenti sviluppati in linguaggi meno sicuri. L'esperienza di Google con Android dimostra che è possibile migliorare significativamente la sicurezza di un sistema, anche molto complesso e diffuso, senza sacrificare la funzionalità o la compatibilità, con la speranza che Big G riesca a influenzare le pratiche di sviluppo software in tutto il settore, promuovendo un approccio più proattivo e integrato alla sicurezza informatica.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".