AIDL-фаззинг

Фаззер ведет себя как клиент удаленной службы, импортируя или вызывая ее через сгенерированную заглушку:

Использование API C++:

#include <fuzzbinder/libbinder_ndk_driver.h>
#include <fuzzer/FuzzedDataProvider.h>

#include <android-base/logging.h>
#include <android/binder_interface_utils.h>

using android::fuzzService;
using ndk::SharedRefBase;

extern "C" int LLVMFuzzerTestOneInput(const uint8_t* data, size_t size) {
    auto binder = ndk::SharedRefBase::make<MyService>(...);

    fuzzService(binder->asBinder().get(), FuzzedDataProvider(data, size));

    return 0;
}

Использование Rust API:

#![allow(missing_docs)]
#![no_main]
#[macro_use]
extern crate libfuzzer_sys;

use binder::{self, BinderFeatures, Interface};
use binder_random_parcel_rs::fuzz_service;

fuzz_target!(|data: &[u8]| {
    let service = BnTestService::new_binder(MyService, BinderFeatures::default());
    fuzz_service(&mut service.as_binder(), data);
});

Фреймворк для фаззинга служб AIDL

Как показано в примере выше, fuzzService вызывается в фаззере и принимает в качестве входных параметров IBinder (Service) и dataProvider. Сначала он инициализирует случайный объект Parcel с помощью поставщика данных, затем вызывает метод transact на удалённом сервисе, используя входной пакет, и, наконец, помещает ответ в пакет-ответ.

Создание и запуск фаззеров

Фаззеры по умолчанию создаются с покрытием.

Для обнаружения проблем с памятью рекомендуются следующие очистители. Очистители hwaddress работают только на архитектуре arm :

SANITIZE_HOST=address SANITIZE_TARGET=hwaddress

При работе с libFuzzer корпус (то есть каталог) можно указать в файле Android.bp , и этот каталог можно передать фаззеру. Некоторые фаззеры также указывают dictionary: в файле Android.bp , и его можно передать libFuzzer с помощью -dict path/to/dict . Дополнительные параметры см. в официальной документации libFuzzer .

Чтобы запустить фаззеры на устройстве, выполните команду adb sync data , а затем adb shell data/fuzz/ arch / name / name . Чтобы запустить фаззеры на хосте, выполните команду $ANDROID_HOST_OUT/ fuzz / arch / name / name .

Система сборки проверяет, есть ли у каждого сервиса-связывателя AOSP запись о фаззере в привязках сервиса fuzzer . Тест привязки фаззера проверяет, есть ли у каждого сервиса в service_contexts фаззер. Если фаззер или исключение для нового сервиса не найдены, возникает ошибка сборки.

Автоматический фаззер сервиса C++ можно написать, добавив следующее (фаззеры Java и Rust пока не поддерживаются):

  • Запись cc_fuzz в Android.bp для определения модуля фаззера. Модуль cc_default service_fuzzer_defaults содержит зависимости, необходимые для fuzzService .
  • Специфичные для сервиса зависимости следует добавлять как библиотеку или как источники.
  • Основной файл, который создает вашу службу и вызывает fuzzService

Подробные инструкции по использованию cc_fuzz см. в документации по фаззингу с помощью libFuzzer . Чтобы устранить ошибку сборки, обновите привязки, указав новые имена сервиса и фаззера. Для сервисов Java или Rust список фаззеров может быть пустым.