### Integración de Rust para Mayor Seguridad Como parte de sus continuos esfuerzos por mejorar la seguridad de los dispositivos Pixel, Google ha anunciado la integración de un analizador DNS basado en Rust en el firmware del módem. Esta iniciativa tiene como objetivo abordar las vulnerabilidades relacionadas con la memoria a un nivel fundamental. Según Jiacheng Lu, ingeniero de software del equipo de Google Pixel, "El nuevo analizador DNS basado en Rust reduce significativamente nuestro riesgo de seguridad al mitigar toda una clase de vulnerabilidades en un área riesgosa, al tiempo que sienta las bases para una adopción más amplia de código seguro en memoria en otras áreas." Esta mejora de seguridad ya está disponible para los dispositivos Pixel 10, lo que lo convierte en el primer dispositivo Pixel en incorporar un lenguaje seguro en memoria en su módem. ### Antecedentes: Fortalecimiento de la Seguridad de la Banda Base Esta medida se basa en esfuerzos previos para fortalecer el módem de banda base celular contra posibles exploits. A finales de 2023, Google enfatizó la efectividad de los sanitizadores Clang, como Overflow Sanitizer (IntSan) y BoundsSanitizer (BoundSan), para detectar comportamiento indefinido durante la ejecución del programa. Además, en 2024, Google detalló varias medidas de seguridad integradas en el firmware del módem para defenderse contra exploits 2G y ataques de banda base que aprovechan vulnerabilidades de seguridad de memoria, como desbordamientos de búfer, para lograr la ejecución remota de código. Estos avances de seguridad se complementan con la adopción continua de Rust por parte de Google en Android y firmware de bajo nivel. En noviembre de 2025, la compañía informó una reducción significativa en las vulnerabilidades de seguridad de memoria, cayendo por debajo del 20% del total de vulnerabilidades descubiertas en el sistema operativo móvil el año pasado. ### Abordando Vulnerabilidades DNS Google eligió el protocolo DNS para su implementación en Rust debido a su papel fundamental en las comunicaciones celulares modernas. Las vulnerabilidades en DNS, especialmente cuando se implementan en lenguajes inseguros en memoria, pueden exponer a los usuarios a ataques maliciosos, como lo destaca CVE-2024-27227. "Con la evolución de la tecnología celular, las comunicaciones celulares modernas han migrado a redes de datos digitales; en consecuencia, incluso las operaciones básicas como el desvío de llamadas dependen de los servicios DNS", afirmó Google. "Implementar el analizador DNS en Rust ofrece valor al disminuir las superficies de ataque asociadas con la inseguridad de memoria." ### Detalles de Implementación Para esta implementación, Google seleccionó el crate "hickory-proto", un cliente, servidor y resolvedor DNS basado en Rust, y lo modificó para admitir entornos bare metal y embebidos. También utilizaron una herramienta personalizada llamada "cargo-gnaw" para administrar las dependencias del crate. Google señaló que el crate de DNS en Rust no está optimizado para sistemas con memoria restringida y sugirió que la optimización del tamaño del código podría lograrse mediante indicadores de características para compilar selectivamente solo la funcionalidad requerida. "Para el analizador DNS, declaramos la API de análisis de respuestas DNS en C y luego implementamos la misma API en Rust", explicó Google. "La función de Rust devuelve un entero que representa el código de error. Las respuestas DNS recibidas en la respuesta DNS deben actualizarse a estructuras de datos en memoria que están acopladas con la implementación original de C; por lo tanto, utilizamos funciones C existentes para hacerlo. Las funciones C existentes se despachan desde la implementación de Rust."