Google, Arm se združi za reševanje ranljivosti pomnilnika prek MTE

Google je napovedal partnerstvo s proizvajalcem čipov Arm za oblikovanje razširitve MTE, pripravljene za Android, za zmanjšanje števila ranljivosti, povezanih s pomnilnikom, v mobilni platformi.

Prejšnji teden sta Kostya Serebryany iz Google Core Systems in Sudhi Herle, član skupine za varnost in zasebnost Android, povedala, da sta obe podjetji bodo delali skupaj za oblikovanje razširitve označevanja pomnilnika (MTE), funkcije strojne opreme, ki bo delovala kot orodje za skeniranje pomnilniških hroščev.

"Varnostne napake v pomnilniku, pogoste v C in C++, ostajajo ena največjih ranljivosti v platformi Android in čeprav so bila prejšnja prizadevanja za utrjevanje, varnostne napake v pomnilniku so obsegale več kot polovico varnostnih napak z visoko prednostjo v

Android 9,« pravi Google. "Poleg tega se napake pri varnosti pomnilnika kažejo kot težave z zanesljivostjo, ki jih je težko diagnosticirati, vključno s sporadičnimi zrušitvami ali tiho poškodbo podatkov."

Da bi povečali "zadovoljstvo uporabnikov" in potencialno znižali stroške razvoja programske opreme, se bo Google in Armova zasnova MTE osredotočila na odkrivanje hroščev z "nizkimi stroški".

Poglej tudi: Zlonamerna programska oprema za bančništvo Anubis Android se vrača z obsežnim seznamom uspešnih finančnih aplikacij

MTE se bo izvedel na enega od dveh načinov; "natančen" način, ki bo zagotovil podrobne informacije o napaki v pomnilniku ali varnostni napaki, in »nenatančen« način, ki ne zahteva velike računalniške moči in je zato lahko vedno vklopljen funkcija.

Arm je objavil bela knjiga dokumentiranje aplikacij MTE. V an spremljajočo objavo v blogu, je oblikovalec čipov dejal, da lahko MTE zazna dve glavni vrsti težav s pomnilnikom, ki obstajata.

Prvi je kršitev prostorske varnosti, do katere pride, ko se na objekt dostopa izven njegovih pravilnih meja. Druga je kršitev časovne varnosti, težava, ki jo je mogoče izkoristiti, ko je sklic na objekt uporabljen po izteku in ko je pomnilnik objekta sproščen -- znan tudi kot uporaba po brezplačni uporabi ranljivosti.

CNET: Poravnava Equifax: odkrijte, ali ste upravičeni, vložite zahtevek in poglejte, kaj boste dobili

Google pravi, da bo MTE koristen za testiranje in fuzzing v laboratorijskih okoljih in bo našel "več hroščev v delčku časa in po nižji ceni," strojna oprema pa bo prav tako lahko zagotavljala tako podrobna poročila, kot jih ustvarjata današnja ASAN in HWASAN orodja.

Poleg tega Google verjame, da bo MTE razvijalcem Androida in proizvajalcem originalne opreme pomagal pri testiranju programske opreme skozi življenjski cikel razvoja.

Medtem ko je bil HWASAN že preizkušen na platformi Android in z majhnim številom aplikacij -- odkril je skoraj 100 pomnilniških napak v procesu – Google pravi, da bo MTE verjetno močno izboljšal te rezultate v smislu zmanjšanja stroškov, enostavne uporabe in razširljivost.

TechRepublic: Kako sestaviti načrt odzivanja na ranljivost: 6 nasvetov

Google zdaj sodeluje s prodajalci Arm System On Chip (SoC) pri testiranju podpore MTE za sklad programske opreme Android.

"Verjamemo, da bo pomnilniško označevanje zaznalo najpogostejše vrste pomnilniških varnostnih hroščev v naravi, pomaga prodajalcem, da jih identificirajo in popravijo, ter odvrača zlonamerne akterje od njihovega izkoriščanja," je tehnološki velikan pravi. "MTE obravnavamo kot možno temeljno zahtevo za določene ravni naprav Android."

Prejšnja in sorodna pokritost

• Google Project Zero: 95,8 % vseh poročil o napakah je odpravljenih pred iztekom roka
  
• Ta nova izsiljevalska programska oprema za Android vas okuži prek sporočil SMS
  
• V Googlu Play najdene zlonamerne aplikacije za življenjski slog, zabeleženih 30 milijonov namestitev
  

---

Imate namig? Varno stopite v stik prek WhatsApp | Signal na +447713 025 499 ali na Keybase: charlie0

---