AddressSanitizer

AddressSanitizer (ASan) è uno strumento veloce basato su compilatore per rilevare bug di memoria nel codice nativo.

ASan rileva:

  • Overflow / underflow del buffer di stack e heap
  • Uso dell'heap dopo gratuito
  • Uso dello stack al di fuori dell'ambito
  • Doppio libero / selvaggio libero

ASan funziona sia su ARM a 32 bit che a 64 bit, oltre a x86 e x86-64. L'overhead della CPU di ASan è all'incirca 2x, l'overhead della dimensione del codice è compreso tra il 50% e il 2x e un overhead di memoria elevato (a seconda dei modelli di allocazione, ma dell'ordine di 2x).

Android 10 e il ramo master AOSP su AArch64 supportano ASan con accelerazione hardware (HWASan) , uno strumento simile con un sovraccarico della RAM inferiore e una gamma più ampia di bug rilevati. HWASan rileva l'utilizzo dello stack dopo la restituzione, oltre ai bug rilevati da ASan.

HWASan ha un overhead della CPU e della dimensione del codice simile, ma un overhead della RAM molto inferiore (15%). HWASan non è deterministico. Ci sono solo 256 possibili valori di tag, quindi c'è una probabilità fissa dello 0,4% di perdere qualsiasi bug. HWASan non dispone delle zone rosse di dimensioni limitate di ASan per il rilevamento degli overflow e della quarantena a capacità limitata per il rilevamento dell'uso dopo la liberazione, quindi non importa a HWASan quanto è grande l'overflow o quanto tempo fa la memoria è stata rilasciata. Questo rende HWASan migliore di ASan. Puoi leggere ulteriori informazioni sul design di HWASan o sull'uso di HWASan su Android .

ASan rileva gli overflow dello stack / globali oltre agli overflow dell'heap ed è veloce con un sovraccarico di memoria minimo.

Questo documento descrive come creare ed eseguire parti / tutto Android con ASan. Se stai creando un'app SDK / NDK con ASan, vedi invece Address Sanitizer .

Sanificazione dei singoli eseguibili con ASan

Aggiungi LOCAL_SANITIZE:=address o sanitize: { address: true } alla regola di build per l'eseguibile. È possibile cercare nel codice esempi esistenti o trovare gli altri disinfettanti disponibili.

Quando viene rilevato un bug, ASan stampa un rapporto dettagliato sia sull'output standard che su logcat e quindi interrompe il processo.

Sanificazione delle biblioteche condivise con ASan

A causa del modo in cui funziona ASan, una libreria creata con ASan può essere utilizzata solo da un eseguibile creato con ASan.

Per disinfettare una libreria condivisa utilizzata in più eseguibili, non tutti creati con ASan, sono necessarie due copie della libreria. Il modo consigliato per farlo è aggiungere quanto segue ad Android.mk per il modulo in questione:

LOCAL_SANITIZE:=address
LOCAL_MODULE_RELATIVE_PATH := asan

Questo mette la libreria in /system/lib/asan invece di /system/lib . Quindi, esegui il tuo eseguibile con:

LD_LIBRARY_PATH=/system/lib/asan

Per i daemon di sistema, aggiungere quanto segue alla sezione appropriata di /init.rc o /init.$device$.rc .

setenv LD_LIBRARY_PATH /system/lib/asan

Verificare che il processo stia utilizzando le librerie da /system/lib/asan quando presenti leggendo /proc/$PID/maps . In caso contrario, potrebbe essere necessario disabilitare SELinux:

adb root
adb shell setenforce 0
# restart the process with adb shell kill $PID
# if it is a system service, or may be adb shell stop; adb shell start.

Tracce dello stack migliori

ASan utilizza uno svolgitore veloce basato su frame-pointer per registrare un'analisi dello stack per ogni allocazione di memoria e evento di deallocazione nel programma. La maggior parte di Android è costruita senza puntatori di frame. Di conseguenza, spesso ottieni solo uno o due fotogrammi significativi. Per risolvere questo problema, ricostruisci la libreria con ASan (consigliato!) O con:

LOCAL_CFLAGS:=-fno-omit-frame-pointer
LOCAL_ARM_MODE:=arm

Oppure impostare ASAN_OPTIONS=fast_unwind_on_malloc=0 nell'ambiente del processo. Quest'ultimo può essere molto impegnativo per la CPU, a seconda del carico.

Simbolizzazione

Inizialmente, i report ASan contengono riferimenti agli offset nei file binari e nelle librerie condivise. Esistono due modi per ottenere il file di origine e le informazioni sulla riga:

  • Assicurati che il llvm-symbolizer binario llvm-symbolizer sia presente in /system/bin . llvm-symbolizer è costruito dai sorgenti in third_party/llvm/tools/llvm-symbolizer .
  • Filtra il rapporto tramite lo external/compiler-rt/lib/asan/scripts/symbolize.py .

Il secondo approccio può fornire più dati (ovvero, file:line percorsi di file:line ) a causa della disponibilità di librerie simbolizzate sull'host.

ASan nelle app

ASan non può vedere il codice Java, ma può rilevare bug nelle librerie JNI. Per questo, è necessario creare l'eseguibile con ASan, che in questo caso è /system/bin/app_process( 32|64 ) . Ciò abilita ASan in tutte le app sul dispositivo contemporaneamente, il che è un carico pesante, ma un dispositivo con 2 GB di RAM dovrebbe essere in grado di gestirlo.

Aggiungi LOCAL_SANITIZE:=address alla regola di compilazione app_process in frameworks/base/cmds/app_process . Ignora il target app_process__asan nello stesso file per ora (se è ancora lì nel momento in cui leggi questo).

Modificare la sezione del service zygote del file system/core/rootdir/init.zygote( 32|64 ).rc appropriato per aggiungere le seguenti righe al blocco di righe indentate contenente la class main , anch'esse rientrate della stessa quantità:

    setenv LD_LIBRARY_PATH /system/lib/asan:/system/lib
    setenv ASAN_OPTIONS allow_user_segv_handler=true

Build, adb sync, fastboot flash boot e reboot.

Utilizzo della proprietà wrap

L'approccio nella sezione precedente inserisce ASan in ogni app del sistema (in realtà, in ogni discendente del processo Zygote). È possibile eseguire solo una (o più) app con ASan, scambiando un po 'di memoria per l'avvio più lento delle app.

Questo può essere fatto avviando la tua app con l' wrap. proprietà. Il seguente esempio esegue l'app Gmail in ASan:

adb root
adb shell setenforce 0  # disable SELinux
adb shell setprop wrap.com.google.android.gm "asanwrapper"

In questo contesto, asanwrapper riscrive /system/bin/app_process in /system/bin/asan/app_process , costruito con ASan. Aggiunge anche /system/lib/asan all'inizio del percorso di ricerca della libreria dinamica. In questo modo le librerie con strumentazione ASan da /system/lib/asan sono preferite alle normali librerie in /system/lib quando vengono eseguite con asanwrapper .

Se viene rilevato un bug, l'app si arresta in modo anomalo e il rapporto viene stampato nel registro.

SANITIZE_TARGET

Android 7.0 e versioni successive includono il supporto per la creazione dell'intera piattaforma Android con ASan in una sola volta. (Se stai creando una versione successiva ad Android 9, HWASan è una scelta migliore.)

Esegui i seguenti comandi nello stesso albero di compilazione.

make -j42
SANITIZE_TARGET=address make -j42

In questa modalità, userdata.img contiene librerie extra e deve essere aggiornato anche sul dispositivo. Usa la seguente riga di comando:

fastboot flash userdata && fastboot flashall

Questo costruisce due set di librerie condivise: normale in /system/lib (la prima invocazione make) e con strumentazione ASan in /data/asan/lib (la seconda invocazione make). Gli eseguibili della seconda build sovrascrivono quelli della prima build. Gli eseguibili con strumentazione ASan ottengono un percorso di ricerca della libreria diverso che include /data/asan/lib prima di /system/lib tramite l'uso di /system/bin/linker_asan in PT_INTERP .

Il sistema di compilazione blocca le directory degli oggetti intermedi quando il valore $SANITIZE_TARGET è cambiato. Questo forza una ricostruzione di tutti i target preservando i binari installati in /system/lib .

Alcuni target non possono essere creati con ASan:

  • File eseguibili collegati staticamente
  • LOCAL_CLANG:=false obiettivi
  • LOCAL_SANITIZE:=false non sono ASan'd per SANITIZE_TARGET=address

Eseguibili come questi vengono ignorati nella build SANITIZE_TARGET e la versione dalla prima chiamata make viene lasciata in /system/bin .

Librerie come questa sono costruite senza ASan. Possono contenere codice ASan dalle librerie statiche da cui dipendono.

Documentazione di supporto