堆代码讯 在现代智能手机的安全体系中，蜂窝基带一直是那个最容易被忽视、也最难以防护的薄弱环节。多年来，操作系统层面的沙箱隔离、漏洞缓解机制已经日趋完善，但一旦攻击者将目标瞄准调制解调器，这些常规的防护手段往往会彻底失效。如今，谷歌正试图用一种巧妙的方式，补上这个长期存在的安全短板 —— 在 Pixel 10 的调制解调器中，谷歌首次引入了基于 Rust 语言的 DNS 解析器，以最小的改动，为这个封闭的 legacy 系统筑牢安全防线。

一.被忽视的安全死角：蜂窝基带的先天缺陷

手机的蜂窝基带，本质上是一个运行在设备内部的独立 “小操作系统”。这个组件负责了从蜂窝信号处理、网络协议协商到通话、数据传输的核心功能，支撑着手机最基础的通信能力。但长期以来，基带固件的开发都依赖 C 和 C++ 语言，数十兆字节的专有代码经过数十年的累积，形成了一个复杂且封闭的系统。

这种开发模式带来的最大问题，就是内存安全的缺失。在 C/C++ 的开发环境中，手动内存管理的难度极高，这也让基带固件成为了内存漏洞的重灾区：缓冲区溢出、释放后使用漏洞、内存泄漏等问题层出不穷，而这些漏洞一旦被攻击者利用，就可以实现远程代码执行，直接接管整个基带，甚至突破手机的系统防护。

谷歌的 Project Zero 团队早已关注到这一风险。此前，该团队就已经成功演示了针对 Pixel 设备中 Exynos 调制解调器的远程代码执行攻击，并且在这个组件中记录了超过 20 个安全漏洞，其中 18 个都被评为最高的 “严重” 级别。即便谷歌为这些漏洞打上了补丁，也只是治标不治本 —— 整个基带的代码库依然复杂、封闭，且时刻暴露在不受信任的网络数据面前，根本的安全风险始终存在。

二.重写整个固件？不现实的行业难题

想要彻底解决基带的内存安全问题，最直接的想法似乎是用内存安全语言重写整个固件。但在现实中，这几乎是短期内无法完成的任务。一方面，基带供应商经过几十年的积累，已经沉淀了大量与 3GPP 通信规范对齐的代码，这些代码大多被视为商业机密，外部开发者根本无法接触到完整的代码库，更不用说进行全面的重写。另一方面，基带对实时性的要求极高，所有的处理都必须在极低的延迟下完成，这也是为什么长期以来基带开发都首选 C 和 C++ 这类高性能语言。

而其他的内存安全语言，比如 Python 或者 C#，都依赖垃圾回收机制来管理内存，这会带来不可预测的延迟峰值，对于需要毫秒级响应的基带工作负载来说，这种延迟是完全无法接受的。这也意味着，想要一步到位把整个基带都迁移到内存安全语言中，在当前的技术和行业环境下，根本不具备可行性。

三.精准破局：用 Rust 加固最暴露的 DNS 入口

在全面重写不现实的情况下，谷歌选择了另一条渐进式的路径：精准定位风险最高的组件，用 Rust 语言逐个击破，而第一个被选中的目标，就是调制解调器中的 DNS 解析器。

Rust 语言的出现，刚好解决了性能与安全的平衡难题。和其他内存安全语言不同，Rust 并不依赖垃圾回收机制，而是通过所有权和借用模型，在编译阶段就强制保证内存安全，依靠严格的 “借用检查器” 从源头杜绝内存错误。这意味着，使用 Rust 编写的代码，不仅能拥有和 C/C++ 相当的高性能，还能从根本上避免一类内存安全漏洞 —— 很多传统的内存破坏漏洞，在 Rust 中根本无法通过编译。

而 DNS 解析器，正是基带中最适合改造的组件。随着蜂窝网络的演进，越来越多的基带功能开始迁移到 IP 数据网络上，DNS 早已不只是上网的工具，它还是手机定位服务、呼叫转移等核心通信功能的依赖。这就意味着，基带的 DNS 解析器必须时刻处理来自网络的、不受信任的数据包，还要解码相对复杂的 DNS 协议，这也让它成为了漏洞的高发区 —— 用 C/C++ 实现的 DNS 解析器，历来都是攻击者最爱的突破口。

为了快速落地这一改造，谷歌没有从零开始编写代码，而是选择了 Rust 生态中已经成熟的 hickory-proto 库。这个 DNS 库在 Rust 社区被广泛使用，经过了大量的实战测试，并且一直保持着活跃的维护。为了适配基带固件的运行环境，谷歌的工程师对这个库进行了精简，移除了对标准库的依赖，打造了一个可以在裸机环境下运行的 no_std 版本，直接集成到了基带固件中。

四.小改动大防护：371KB 带来的安全升级

这个改动带来的体积增量几乎可以忽略不计：整个 Rust 组件，只为原本庞大的基带固件增加了仅仅 371KB 的体积，对于如今的手机存储来说，这完全是微不足道的开销。但它带来的安全提升却是颠覆性的。在新的架构下，所有到达调制解调器的 DNS 请求，在接触到传统的 C/C++ 代码之前，都会先经过 Rust 代码的处理。过去，攻击者可以通过构造恶意的 DNS 数据包，利用传统代码中的指针运算漏洞实现内存破坏、远程入侵；而现在，这些攻击企图首先会撞上 Rust 的编译时安全保证，绝大多数的内存破坏攻击，在这一层就会被直接拦截。

Pixel 10 也因此成为了全球首款在调制解调器中搭载这种 Rust DNS 解析器的智能手机。而谷歌也将这次改造，作为了未来基带安全升级的模板：不再追求一步到位的全面重写，而是先隔离出风险最高的代码，将其逐步迁移到内存安全的 Rust 语言中，随着时间的推移，一点点缩小遗留代码暴露在不受信任数据中的范围，用渐进的方式，逐步补上基带这个智能手机最后的安全盲区。

这种精准、务实的改造思路，也为整个行业提供了一个可借鉴的方向 —— 面对遗留系统的历史包袱，不必追求推倒重来，通过精准的局部改造，同样可以在不影响性能、不改动大量 legacy 代码的前提下，快速提升系统的安全能力。