Google 致力于为黑人社区推动种族平等。查看具体举措

ShadowCallStack

ShadowCallStack (SCS) 是一种 LLVM 插桩模式,可将函数的返回地址保存到非叶函数的函数 prolog 中单独分配的 ShadowCallStack,并从函数 epilog 中的 ShadowCallStack 加载返回地址,从而防止返回地址覆盖(比如堆栈缓冲区溢出)。返回地址也存储在常规堆栈中,以便与展开程序兼容,但除此之外就没有用处。这样可以确保攻击行为(修改常规堆栈上的返回地址)不会对程序控制流造成任何影响。

在 aarch64 上,此插桩机制使用 x18 寄存器来引用 ShadowCallStack,这意味着不必将对 ShadowCallStack 的引用存储在内存中。因此,实现的运行时可避免将 ShadowCallStack 地址暴露给能够读取任意内存的攻击者 。

实现

Android 支持将 ShadowCallStack 用于内核和用户空间。

为内核启用 SCS

要为内核启用 ShadowCallStack,请将下面这行代码添加到内核配置文件:

CONFIG_SHADOW_CALL_STACK=y

在用户空间中启用 SCS

如需在用户空间组件中启用 ShadowCallStack,请将下面这几行代码添加到组件的蓝图文件中:

sanitize: {
  scs: true
}

SCS 会假定预留 x18 寄存器是为了存储 ShadowCallStack 的地址,并且该寄存器不会用于任何其他目的。虽然所有系统库都编译为预留 x18 寄存器,但如果为与进程内旧版代码(例如可由第三方应用加载的库)进行互操作的用户空间组件启用 SCS,可能会破坏 x18 寄存器,从而可能导致出现问题。因此,我们仅建议在不会加载到旧版二进制文件中的自包含组件中启用 SCS。

验证

没有专门针对 SCS 的 CTS 测试。不过,您可以确保无论是否启用 SCS,CTS 测试均能通过,从而确定 SCS 不会影响设备。