Ta strona została przetłumaczona przez Cloud Translation API.

Parzenie AIDL

Fuzzer działa jako klient usługi zdalnej, importując lub wywołując ją przy użyciu wygenerowanego namiaru:

Korzystanie z interfejsu C++ API:

#include <fuzzbinder/libbinder_ndk_driver.h>
#include <fuzzer/FuzzedDataProvider.h>

#include <android-base/logging.h>
#include <android/binder_interface_utils.h>

using android::fuzzService;
using ndk::SharedRefBase;

extern "C" int LLVMFuzzerTestOneInput(const uint8_t* data, size_t size) {
    auto binder = ndk::SharedRefBase::make<MyService>(...);

    fuzzService(binder->asBinder().get(), FuzzedDataProvider(data, size));

    return 0;
}

Korzystanie z Rust API:

#![allow(missing_docs)]
#![no_main]
#[macro_use]
extern crate libfuzzer_sys;

use binder::{self, BinderFeatures, Interface};
use binder_random_parcel_rs::fuzz_service;

fuzz_target!(|data: &[u8]| {
    let service = BnTestService::new_binder(MyService, BinderFeatures::default());
    fuzz_service(&mut service.as_binder(), data);
});

Platforma do ukrywania usług AIDL

Jak widać w przykładzie powyżej, funkcja fuzzService jest wywoływana w fuzzer i jako parametry wejściowe pobiera parametry IBinder (Service) i dataProvider. Najpierw inicjuje losowy obiekt Parcel przy użyciu dostawcy danych i wywołuje metodę transakcji w usłudze zdalnej przy użyciu działki wejściowej, a na koniec przesyła odpowiedź do przesyłki zwrotnej.

Budowanie i uruchamianie

Domyślnie fuzzery są tworzone z uwzględnieniem pokrycia.

Do wykrywania problemów z pamięcią zalecamy poniższe środki dezynfekcyjne. hwaddress dezynfekujące działają tylko w architekturze arm:

SANITIZE_HOST=address SANITIZE_TARGET=hwaddress

Podczas uruchamiania narzędzia libFuzzer w pliku Android.bp można określić korpus, który jest katalogiem. Ten katalog można przekazać fuzzerowi. Niektóre fuzzery podają też w pliku Android.bp parametr dictionary:, który możesz przekazać do libFuzzer za pomocą parametru -dict path/to/dict. Więcej opcji znajdziesz w oficjalnej dokumentacji libFuzzer.

Aby uruchomić fuzzer na urządzeniu, uruchom adb sync data, a potem adb shell data/fuzz/arch/name/name. Aby uruchomić preparaty do rozmycia na hoście, uruchom polecenie $ANDROID_HOST_OUT/fuzz/arch/name/name.

Polecanie fuzzerów w przypadku nowych i dotychczasowych usług

System kompilacji sprawdza, czy każda usługa powiązań AOSP ma wpis rozmycia w powiązaniach usługi fuzzer. W ramach testu wiązania Fuzzer sprawdza się, czy każda usługa w service_contexts ma rozmycie. Jeśli nie uda się znaleźć fuzzera ani wyjątku dla nowej usługi, wystąpi błąd kompilacji.

Automatyczny fuzzer usługi w C++ można napisać, dodając te elementy (fuzzery w Javie i Rust nie są jeszcze obsługiwane):

Wpis cc_fuzz w Android.bp, który określa moduł rozmycia. Moduł cc_default service_fuzzer_defaults ma zależności wymagane do fuzzService.
Zależności zależne od usługi należy dodać jako bibliotekę lub jako źródła.
Główny plik, który tworzy usługę i wywołuje fuzzService.

Szczegółowe instrukcje dotyczące korzystania z cc_fuzz znajdziesz w dokumentacji Fuzzing za pomocą libFuzzer. Aby rozwiązać problem z kompilacją, zaktualizuj powiązania, podając nowe nazwy usługi i fuzzera. W przypadku usług w Javie lub Rust lista fuzzera może być pusta.