Google e ARM si alleano per mitigare i rischi legati alle vulnerabilità hardware in Android

A quanto dichiara Google più della metà delle vulnerabilità di massima priorità riscontrate in Android Pie è legata a bug che riguardano la sicurezza della memoria - tutti ricordiamo Meltdown e Spectre, e non solo. Per questo in Android Q sono state implementate alcune funzioni per mitigare problematiche simili, purtroppo però trattandosi di questioni legate all'hardware le soluzione software rimangono pur sempre limitate. Proprio per questo BigG si è alleata con il produttore di processori ARM per creare un nuovo componente chiamato MTE (Memory Tagging Extension).

Questo tipo di vulnerabilità infatti sono piuttosto comuni nei linguaggi di programmazione C e C++ usati per lo sviluppo di app Android, ma soprattutto sono piuttosto difficili da individuare. Qui dovrebbe entrare in gioco MTE permettendo di abbassare i tempi e gli sforzi necessari a identificare possibili minacce. In particolare il componente avrebbe due modalità operative: una più dettagliata ma con un consumo di risorse maggiore (chiamata "Precise mode") e un'altra meno puntuale ma con un impatto minore sui consumi e per questo adatta a girare costantemente in background ("Imprecise mode").

MTE dovrebbe sostituire controlli attualmente esistenti - come ASAN e HWASAN - con un dispendio di risorse e tempi decisamente inferiori, e più facilmente scalabile. Più dinamicità e flessibilità, maggiore accuratezza nei report a tutti i livelli di sviluppo e infine MTE dovrebbe anche consentire agli sviluppatori di patchare bug di memoria prima del deployment riducendo così ulteriormente le possibilità che una vulnerabilità possa essere effettivamente utilizzata da malintenzionati.

Google si dice certa di riuscire a realizzare tutto ciò di cui un componente del genere necessità prima che sia pronto per la produzione di massa. Pare anche che Mountain View stia considerando di rendere obbligatoria la presenza di MTE in futuro per certi tipi di dispositivi Android. Se volete approfondire l'argomento potete cliccare sui link fonte qui sotto.