O Google tem o compromisso de promover a igualdade racial para as comunidades negras. Saiba como.
Esta página foi traduzida pela API Cloud Translation.
Switch to English

Scudo

Scudo é um alocador de memória de modo de usuário dinâmico, ou alocador de heap , projetado para ser resiliente contra vulnerabilidades relacionadas a heap (como estouro de buffer baseado em heap , uso após liberação e liberação dupla ) enquanto mantém o desempenho. Ele fornece as primitivas de alocação e desalocação C padrão (como malloc e free), bem como as primitivas C ++ (como new e delete).

O Scudo é mais uma mitigação do que um detector de erros de memória completo como o AddressSanitizer (ASan) .

A partir da versão Android 11, o scudo é usado para todos os códigos nativos (exceto em dispositivos com pouca memória, onde jemalloc ainda é usado). Em tempo de execução, todas as alocações e desalocações de heap nativas são atendidas pelo Scudo para todos os executáveis ​​e suas dependências de biblioteca, e o processo é abortado se uma corrupção ou comportamento suspeito for detectado no heap.

No Android 10, o scudo precisava ser habilitado por binário, definindo a opção LOCAL_SANITIZE := scudo no arquivo .mk ou sanitize: { scudo: true, } no arquivo .bp.

Scudo é open source e parte do projeto compiler-rt do LLVM. A documentação está disponível em https://llvm.org/docs/ScudoHardenedAllocator.html . O tempo de execução do Scudo é fornecido como parte da cadeia de ferramentas do Android e o suporte foi adicionado ao Soong e Make para permitir a fácil ativação do alocador em um binário.

Você pode habilitar ou desabilitar a mitigação extra dentro do alocador usando as opções descritas abaixo.

Costumização

Alguns parâmetros do alocador podem ser definidos por processo de várias maneiras:

  • __scudo_default_options : defina uma função __scudo_default_options no programa que retorna a string de opções a ser analisada. Esta função deve ter o seguinte protótipo: extern "C" const char *__scudo_default_options() .
  • Dinamicamente: Use a variável de ambiente SCUDO_OPTIONS contendo a string de opções a ser analisada. As opções definidas desta forma substituem qualquer definição feita por meio de __scudo_default_options .

As seguintes opções estão disponíveis.

Opção Padrão de 64 bits Padrão de 32 bits Descrição
QuarantineSizeKb 256 64 O tamanho (em KB) da quarentena usado para atrasar a desalocação real de blocos. Um valor mais baixo pode reduzir o uso de memória, mas diminuir a eficácia da mitigação; um valor negativo volta aos padrões. Definir isso e ThreadLocalQuarantineSizeKb como zero desativa totalmente a quarentena.
QuarantineChunksUpToSize 2048 512 O tamanho (em bytes) até o qual os pedaços podem ser colocados em quarentena.
ThreadLocalQuarantineSizeKb 64 16 O tamanho (em KB) do cache por thread usado para descarregar a quarentena global. Um valor mais baixo pode reduzir o uso de memória, mas pode aumentar a contenção na quarentena global. Definir isso e QuarantineSizeKb como zero desativa totalmente a quarentena.
DeallocationTypeMismatch false false Ativa o relatório de erros em malloc / delete, new / free, new / delete []
DeleteSizeMismatch true true Ativa o relatório de erros na incompatibilidade entre os tamanhos de novo e de exclusão.
ZeroContents false false Ativa o conteúdo do bloco zero na alocação e desalocação.
allocator_may_return_null false false Especifica que o alocador pode retornar nulo quando ocorrer um erro recuperável, em vez de encerrar o processo.
hard_rss_limit_mb 0 0 Quando o RSS do processo atinge esse limite, o processo é encerrado.
soft_rss_limit_mb 0 0 Quando o RSS do processo atinge esse limite, outras alocações falham ou retornam null (dependendo do valor de allocator_may_return_null ), até que o RSS diminua para permitir novas alocações.
allocator_release_to_os_interval_ms N / D 5000 Afeta apenas um alocador de 64 bits. Se definido, tenta liberar memória não utilizada para o sistema operacional, mas não com mais freqüência do que este intervalo (em milissegundos). Se o valor for negativo, a memória não é liberada para o sistema operacional.
abort_on_error true true Se definido, a ferramenta chama abort() vez de _exit() após imprimir a mensagem de erro.

Validação

Atualmente, não há testes CTS específicos para Scudo. Em vez disso, certifique-se de que os testes CTS sejam aprovados com ou sem Scudo habilitado para um determinado binário para verificar se ele não afeta o dispositivo.

Solução de problemas

Se um problema irrecuperável for detectado, o alocador exibirá uma mensagem de erro para o descritor de erro padrão e, em seguida, encerrará o processo. Os rastreamentos de pilha que levam ao encerramento são adicionados ao log do sistema. A saída geralmente começa com Scudo ERROR: seguido por um breve resumo do problema junto com quaisquer ponteiros.

Aqui está uma lista das mensagens de erro atuais e suas possíveis causas:

  • corrupted chunk header : a verificação da soma de verificação do cabeçalho do bloco falhou. Provavelmente, isso se deve a uma de duas coisas: o cabeçalho foi sobrescrito (parcial ou totalmente) ou o ponteiro passado para a função não é um pedaço.
  • race on chunk header : Dois threads diferentes estão tentando manipular o mesmo cabeçalho ao mesmo tempo. Isso geralmente é sintomático de uma condição de corrida ou falta geral de travamento ao realizar operações nesse bloco.
  • invalid chunk state : o bloco não está no estado esperado para uma determinada operação, por exemplo, não é alocado ao tentar liberá-lo ou não é colocado em quarentena ao tentar reciclá-lo. Um duplo grátis é o motivo típico para esse erro.
  • misaligned pointer : os requisitos básicos de alinhamento são fortemente aplicados: 8 bytes em plataformas de 32 bits e 16 bytes em plataformas de 64 bits. Se um ponteiro passado para nossas funções não se encaixar neles, o ponteiro passado para uma das funções está fora de alinhamento.
  • allocation type mismatch : Quando esta opção está habilitada, uma função de desalocação chamada em um pedaço deve corresponder ao tipo de função que foi chamada para alocá-lo. Esse tipo de incompatibilidade pode apresentar problemas de segurança.
  • invalid sized delete : quando o operador de exclusão de tamanho C ++ 14 é usado e a verificação opcional está habilitada, há uma incompatibilidade entre o tamanho que foi passado ao desalocar um pedaço e o tamanho que foi solicitado ao alocá-lo. Normalmente, trata-se de um problema do compilador ou de uma confusão de tipo no objeto que está sendo desalocado.
  • RSS limit exhausted : O RSS máximo opcionalmente especificado foi excedido.

Se você estiver depurando uma falha no próprio sistema operacional, poderá usar uma versão do sistema operacional HWASan . Se você estiver depurando uma falha em um aplicativo, também é possível usar uma construção de aplicativo HWASan .