文章总结： Google在Pixel10基带固件中首次使用Rust重写DNS解析器，通过解决裸机环境适配、依赖管理和二进制体积优化三大技术难点，结合巧妙的C/Rust混合编程架构，从根本上消除内存安全漏洞。此举将Android内存安全漏洞占比降至20%以下，标志Rust在底层安全领域进入工业级实战阶段，为行业提供可借鉴的技术路径。 综合评分： 87 文章分类： 移动安全,代码审计,安全开发,解决方案,漏洞分析

内存安全攻防战：从CVE漏洞看Pixel 10如何用Rust彻底封死攻击面

原创

Hankzheng Hankzheng

技术修道场

2026年4月20日 08:03 广东

在小说阅读器读本章

去阅读

哈喽兄弟们，搞安全的同行都知道，智能手机的基带一直都是“重灾区”。作为通信的最底层，基带固件长期被 C/C++ 统治，随便一个缓冲区溢出或者越界访问，就可能被黑客用来搞远程代码执行（RCE）。

为了堵住这些内存安全漏洞，Google 最近搞了个大动作：在最新的 Pixel 10 手机基带固件中，史无前例地引入了基于 Rust 编写的 DNS 解析器。 这不仅是 Pixel 家族第一次在基带中落地内存安全语言，更是向整个行业的传统底层开发模式开了一炮。今天，咱们就来深挖一下 Google 这波操作背后的技术路径和实现难点。

为什么是 DNS？一个极其危险的攻击面

有人可能会问，基带里那么多模块，为什么偏偏挑 DNS 下手？

实际上，随着蜂窝通信技术的演进（比如现在的 VoLTE 甚至 VoNR），现代蜂窝网络早已经全面迁移到了数字数据网络。这意味着，即使是像“呼叫转移”这样最基础的通信操作，底层也严重依赖 DNS 服务来解析节点。

由于传统 DNS 解析器大多是用 C 语言手搓的，一旦出现设计缺陷，极易引发内存安全问题。比如之前爆出的 CVE-2024-27227 漏洞，就是典型的越界内存访问。如果攻击者通过伪造的恶意 DNS 响应包打穿了基带，不仅能窃听通话，还能直接拿下设备的控制权。

Pixel 团队的软件工程师 Jiacheng Lu 原话是这么说的：“用 Rust 重写 DNS 解析器，直接从根源上消灭了一整类高危区域的漏洞，同时也为未来在其他模块推广内存安全代码打了个样。”

技术拆解：Rust 如何适配裸机环境？

把 Rust 跑在 Linux 或者 Android 应用层不难，但要在资源极其受限、甚至没有标准库支持的裸机环境（Bare Metal）和嵌入式系统里跑 Rust，绝对是个技术体力活。

Google 这次并没有完全从零“造轮子”，而是基于开源的 Rust DNS 客户端/服务端核心库 hickory-proto 进行了深度魔改。

在这个落地过程中，Google 工程师重点解决了三大技术难点：

1. 剥离环境依赖，适配裸机

原生的 hickory-proto 包含了大量对标准操作系统 API 的依赖。Google 团队对其进行了深度裁剪，使其能够适应 Modem 内部纯粹的嵌入式实时操作系统（RTOS）环境。

2. 搞定令人头疼的依赖地狱

引入 hickory-proto 的同时，也引入了多达 30 多个底层的 Rust 依赖库（Crates）。在大型 C/C++ 固件工程中管理这些 Rust 依赖是一场灾难。

为此，Google 祭出了一个自研的构建工具 cargo-gnaw。这个工具能够无缝解析和维护这 30 多个依赖项，并将其完美集成到现有的基带编译工具链中。

3. 极限压榨二进制体积（Code Size）

对于基带固件来说，每一 KB 的内存都极其宝贵。原生的 Rust crate 并没有针对内存受限系统进行优化。

Google 的解法是：大范围使用 Feature Flags（特性开关）。通过模块化的配置，在编译期精准剔除不需要的功能，做到“按需编译”，从而严格控制最终生成的二进制文件体积。

最精彩的博弈：C 与 Rust 的混合双打（FFI）

在庞大的基带代码库中，不可能一夜之间把所有 C 代码都换成 Rust。因此，最核心的重头戏在于：新写的 Rust 模块如何与海量的老旧 C 代码和平共处？

Google 给出的跨语言调用（FFI, Foreign Function Interface）架构非常巧妙：

1. 接口定义对齐：

   首先，他们在 C 语言侧声明了 DNS 响应解析的 API 头文件，然后用 Rust 实现了这套一模一样的 API。

2. 错误处理机制：

   Rust 函数在执行完毕后，不抛出复杂的泛型 Result，而是直接向 C 代码返回一个标准的整型错误码（Integer Error Code），保证调用链路的极简。

3. 数据结构反向更新：

   这是最精妙的一步。DNS 解析出来的结果，最终还是要塞回给原有 C 语言维护的内存数据结构中。但 Google 没有选择在 Rust 里强行操作 C 的内存指针（这极易破坏内存安全），而是在 Rust 代码中反向调用现有的 C 函数。让 C 函数自己去更新耦合的 C 数据结构。

这种“C 调用 Rust 处理逻辑，Rust 再回调 C 更新数据”的闭环设计，既发挥了 Rust 处理复杂解析时的内存安全性，又最大程度降低了对原有固件架构的破坏。

总结

从 2023 年引入 Clang 的 IntSan（整数溢出检查）和 BoundSan（边界检查），到如今在 Pixel 10 直接将 Rust 杀入基带底层，Google 的安全防线正在越筑越深。

据 Google 去年底的数据，Android 系统的内存安全漏洞比例已经降到了总漏洞的 20% 以下。这次 Pixel 10 基带的重构，不仅是一次技术升级，更是给各大手机厂商和 IoT 设备开发商指明了方向：用 Rust 解决底层安全问题，已经从“实验性探索”步入了“工业级实战”阶段。

兄弟们，如果你还在死磕传统的 C/C++ 底层开发，是时候把 Rust 提上日程了！

对于这次基带底层的语言大换血，你们怎么看？欢迎在评论区一起交流探讨！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《内存安全攻防战：从CVE漏洞看Pixel 10如何用Rust彻底封死攻击面》