UndefinedBehaviorSanitizer (UBSan), कॉम्पाइल के समय इंस्ट्रूमेंटेशन करता है, ताकि अलग-अलग तरह के अनिर्दिष्ट व्यवहार की जांच की जा सके. UBSan, काम करने के तरीके से जुड़े कई बग का पता लगा सकता है. हालांकि, Android इनका पता नहीं लगा सकता:
- अलाइनमेंट
- bool
- bounds
- enum
- float-cast-overflow
- float-divide-by-zero
- integer-divide-by-zero
- nonnull-attribute
- खाली
- रिटर्न स्टेटमेंट
- returns-nonnull-attribute
- shift-base
- shift-exponent
- signed-integer-overflow
- पहुंच में नहीं
- unsigned-integer-overflow
- vla-bound
बिना साइन वाला पूर्णांक ओवरफ़्लो, तकनीकी तौर पर अनिर्धारित व्यवहार नहीं है. हालांकि, इसे सैनिटाइज़र में शामिल किया गया है. साथ ही, इसे कई Android मॉड्यूल में इस्तेमाल किया जाता है. इनमें मीडिया सर्वर कॉम्पोनेंट भी शामिल हैं. ऐसा इसलिए किया जाता है, ताकि पूर्णांक ओवरफ़्लो से जुड़ी किसी भी संभावित कमजोरी को खत्म किया जा सके.
लागू करना
Android बिल्ड सिस्टम में, UBSan को दुनिया भर में या स्थानीय तौर पर चालू किया जा सकता है. दुनिया भर में UBSan को चालू करने के लिए, Android.mk में SANITIZE_TARGET सेट करें. हर मॉड्यूल के लेवल पर UBSan को चालू करने के लिए, LOCAL_SANITIZE सेट करें. साथ ही, उन गड़बड़ियों के बारे में बताएं जिन्हें आपको Android.mk में देखना है. उदाहरण के लिए:
LOCAL_PATH:= $(call my-dir) include $(CLEAR_VARS) LOCAL_CFLAGS := -std=c11 -Wall -Werror -O0 LOCAL_SRC_FILES:= sanitizer-status.c LOCAL_MODULE:= sanitizer-status LOCAL_SANITIZE := alignment bounds null unreachable integer LOCAL_SANITIZE_DIAG := alignment bounds null unreachable integer include $(BUILD_EXECUTABLE)
और ब्लूप्रिंट (Android.bp) का मिलता-जुलता कॉन्फ़िगरेशन:
cc_binary {
cflags: [
"-std=c11",
"-Wall",
"-Werror",
"-O0",
],
srcs: ["sanitizer-status.c"],
name: "sanitizer-status",
sanitize: {
misc_undefined: [
"alignment",
"bounds",
"null",
"unreachable",
"integer",
],
diag: {
misc_undefined: [
"alignment",
"bounds",
"null",
"unreachable",
"integer",
],
},
},
}
UBSan के शॉर्टकट
Android में दो शॉर्टकट, integer और
default-ub भी हैं. इनकी मदद से, एक साथ कई सैनिटाइज़र चालू किए जा सकते हैं. integer, integer-divide-by-zero,
signed-integer-overflow, और unsigned-integer-overflow को चालू करता है.
default-ub, उन जांचों को चालू करता है जिनमें कम से कम कंपाइलर की परफ़ॉर्मेंस से जुड़ी समस्याएं होती हैं: bool, integer-divide-by-zero, return,
returns-nonnull-attribute, shift-exponent, unreachable and vla-bound. पूर्णांक की वैल्यू को सुरक्षित करने वाली क्लास का इस्तेमाल, SANITIZE_TARGET और LOCAL_SANITIZE के साथ किया जा सकता है. वहीं, default-ub का इस्तेमाल सिर्फ़ SANITIZE_TARGET के साथ किया जा सकता है.
गड़बड़ी की बेहतर रिपोर्टिंग
Android के डिफ़ॉल्ट UBSan लागू होने पर, कोई तय नहीं किया गया व्यवहार मिलने पर, एक तय फ़ंक्शन को कॉल किया जाता है. डिफ़ॉल्ट रूप से, यह फ़ंक्शन बंद रहता है. हालांकि, अक्टूबर 2016 से Android पर UBSan में एक वैकल्पिक रनटाइम लाइब्रेरी है. इससे गड़बड़ी की ज़्यादा जानकारी मिलती है. इसमें, गड़बड़ी के टाइप, फ़ाइल, और सोर्स कोड लाइन की जानकारी शामिल होती है. पूर्णांक की जांच के साथ गड़बड़ी की रिपोर्टिंग की सुविधा चालू करने के लिए, Android.mk फ़ाइल में यह जोड़ें:
LOCAL_SANITIZE:=integer LOCAL_SANITIZE_DIAG:=integer
LOCAL_SANITIZE वैल्यू, बिल्ड के दौरान सैनिटाइज़र को चालू करती है. LOCAL_SANITIZE_DIAG, बताए गए सैनिटाइज़र के लिए गड़बड़ी की जानकारी देने वाले मोड को चालू करता है. LOCAL_SANITIZE और LOCAL_SANITIZE_DIAG को अलग-अलग वैल्यू पर सेट किया जा सकता है. हालांकि, LOCAL_SANITIZE में सिर्फ़ वे जांच चालू होती हैं. अगर किसी जांच के बारे में LOCAL_SANITIZE में नहीं बताया गया है, लेकिन LOCAL_SANITIZE_DIAG में बताया गया है, तो जांच चालू नहीं होती और गड़बड़ी की जानकारी देने वाले मैसेज नहीं दिए जाते.
यहां UBSan रनटाइम लाइब्रेरी से मिली जानकारी का उदाहरण दिया गया है:
pixel-xl:/ # sanitizer-status ubsan sanitizer-status/sanitizer-status.c:53:6: runtime error: unsigned integer overflow: 18446744073709551615 + 1 cannot be represented in type 'size_t' (aka 'unsigned long')
इंटिजर ओवरफ़्लो सैनिटाइज़ेशन
अनचाहे इंटिजर ओवरफ़्लो की वजह से, मेमोरी ऐक्सेस या मेमोरी ऐलोकेशन से जुड़े वैरिएबल में, मेमोरी खराब हो सकती है या जानकारी ज़ाहिर होने की कमज़ोरियां पैदा हो सकती हैं. इस समस्या से निपटने के लिए, हमने Android 7.0 में Clang के UndefinedBehaviorSanitizer (UBSan) के हस्ताक्षर वाले और बिना हस्ताक्षर वाले पूर्णांक के ओवरफ़्लो सैनिटाइज़र जोड़े हैं, ताकि मीडिया फ़्रेमवर्क को ज़्यादा सुरक्षित बनाया जा सके. Android 9 में, हमने ज़्यादा कॉम्पोनेंट को कवर करने के लिए, UBSan को बड़ा किया है. साथ ही, इसके लिए बिल्ड सिस्टम के साथ बेहतर तरीके से काम करने की सुविधा जोड़ी है.
इसे अंकगणितीय ऑपरेशन और निर्देशों के लिए जांच करने के लिए डिज़ाइन किया गया है. इनमें से कुछ निर्देशों से, कैलकुलेशन के दौरान डेटा का ओवरफ़्लो हो सकता है. इसलिए, ओवरफ़्लो होने पर प्रोसेस को सुरक्षित तरीके से बंद करने के लिए, इस सुविधा का इस्तेमाल किया जाता है. ये सैनिटाइज़र, मेमोरी में डेटा गड़बड़ी और जानकारी ज़ाहिर होने से जुड़ी सभी तरह की समस्याओं को कम कर सकते हैं. ऐसा तब होता है, जब इन समस्याओं की मुख्य वजह इंटिजर का ओवरफ़्लो हो. जैसे, Stagefright की मूल समस्या.
उदाहरण और सोर्स
इंटिजर ओवरफ़्लो सैनिटाइज़ेशन (IntSan) सुविधा, कंपाइलर उपलब्ध कराता है. यह सुविधा, कंपाइल करने के दौरान बाइनरी में इंस्ट्रूमेंटेशन जोड़ती है, ताकि अंकगणितीय ओवरफ़्लो का पता लगाया जा सके. यह सुविधा, पूरे प्लैटफ़ॉर्म के अलग-अलग कॉम्पोनेंट में डिफ़ॉल्ट रूप से चालू होती है. उदाहरण के लिए, /platform/external/libnl/Android.bp.
लागू करना
IntSan, UBSan के साइन किए गए और बिना साइन वाले पूर्णांक ओवरफ़्लो सैनिटाइज़र का इस्तेमाल करता है. यह कम करने की सुविधा, हर मॉड्यूल के लेवल पर चालू होती है. इससे Android के अहम कॉम्पोनेंट को सुरक्षित रखने में मदद मिलती है. इसलिए, इसे बंद नहीं किया जाना चाहिए.
हमारा सुझाव है कि आप ज़्यादा कॉम्पोनेंट के लिए, पूर्णांक के ओवरफ़्लो को ठीक करने की सुविधा चालू करें. इसके लिए, खास तौर पर नेटिव कोड या ऐसा नेटिव कोड इस्तेमाल किया जाता है जो उपयोगकर्ता के अविश्वसनीय इनपुट को पार्स करता है. सैनिटाइज़र की परफ़ॉर्मेंस पर थोड़ा असर पड़ता है. यह असर, कोड के इस्तेमाल और अंकगणितीय ऑपरेशन के प्रचलन पर निर्भर करता है. थोड़े ओवरहेड प्रतिशत की उम्मीद करें और देखें कि परफ़ॉर्मेंस पर असर पड़ा है या नहीं.
मेकफ़ाइल में IntSan का इस्तेमाल करना
किसी मेकफ़ाइल में IntSan को चालू करने के लिए, यह जोड़ें:
LOCAL_SANITIZE := integer_overflow # Optional features LOCAL_SANITIZE_DIAG := integer_overflow LOCAL_SANITIZE_BLOCKLIST := modulename_BLOCKLIST.txt
LOCAL_SANITIZE, सैनिटाइज़र की कॉमा से अलग की गई सूची लेता है. इसमेंinteger_overflow, पहले से पैकेज किए गए विकल्पों का एक सेट होता है. यह सेट, साइन वाले और साइन न वाले अलग-अलग पूर्णांक के ओवरफ़्लो सैनिटाइज़र के लिए होता है. साथ ही, इसमें डिफ़ॉल्ट BLOCKLIST भी होता है.LOCAL_SANITIZE_DIAG, सैनिटाइज़र के लिए गड़बड़ी का पता लगाने वाला मोड चालू करता है. गड़बड़ी की जानकारी देने वाले मोड का इस्तेमाल सिर्फ़ टेस्टिंग के दौरान करें, क्योंकि यह ओवरफ़्लो होने पर प्रोसेस को बंद नहीं करेगा. इससे, गड़बड़ी को कम करने की सुविधा से मिलने वाले सुरक्षा फ़ायदे का पूरी तरह से नुकसान होगा. ज़्यादा जानकारी के लिए, समस्या हल करना देखें.LOCAL_SANITIZE_BLOCKLISTकी मदद से, BLOCKLIST फ़ाइल तय की जा सकती है, ताकि फ़ंक्शन और सोर्स फ़ाइलों को साफ़ न किया जा सके. ज़्यादा जानकारी के लिए, समस्या हल करना देखें.
अगर आपको ज़्यादा बारीकी से कंट्रोल करना है, तो एक या दोनों फ़्लैग का इस्तेमाल करके, अलग-अलग सैनिटाइज़र चालू करें:
LOCAL_SANITIZE := signed-integer-overflow, unsigned-integer-overflow LOCAL_SANITIZE_DIAG := signed-integer-overflow, unsigned-integer-overflow
ब्लूप्रिंट फ़ाइलों में IntSan का इस्तेमाल करना
/platform/external/libnl/Android.bp जैसी ब्लूप्रिंट फ़ाइल में, पूर्णांक के ओवरफ़्लो को साफ़ करने की सुविधा चालू करने के लिए, ये जोड़ें:
sanitize: {
integer_overflow: true,
diag: {
integer_overflow: true,
},
BLOCKLIST: "modulename_BLOCKLIST.txt",
},
मेक फ़ाइलों की तरह ही, integer_overflow प्रॉपर्टी, पहले से पैकेज किए गए विकल्पों का एक सेट है. इसमें, साइन वाले और साइन न किए गए अलग-अलग पूर्णांक के ओवरफ़्लो को ठीक करने वाले टूल के लिए, डिफ़ॉल्ट ब्लॉकलिस्ट शामिल है.
प्रॉपर्टी का diag सेट, सैनिटाइज़र के लिए गड़बड़ी की जानकारी देने वाले मोड को चालू करता है. गड़बड़ी की जानकारी देने वाले मोड का इस्तेमाल सिर्फ़ टेस्टिंग के दौरान करें. गड़बड़ी की जानकारी देने वाला मोड,
ओवरफ़्लो होने पर प्रोसेस को बंद नहीं करता. इससे, उपयोगकर्ता के बिल्ड में, कम करने की सुविधा से मिलने वाले सुरक्षा फ़ायदे का पूरी तरह से नुकसान होता है. ज़्यादा जानकारी के लिए, समस्या हल करना देखें.
BLOCKLIST प्रॉपर्टी की मदद से, ब्लॉकलिस्ट फ़ाइल तय की जा सकती है. इससे डेवलपर, फ़ंक्शन और सोर्स फ़ाइलों को साफ़ किए जाने से रोक सकते हैं. ज़्यादा जानकारी के लिए, समस्या हल करना देखें.
सैनिटाइज़र को अलग-अलग चालू करने के लिए, इनका इस्तेमाल करें:
sanitize: {
misc_undefined: ["signed-integer-overflow", "unsigned-integer-overflow"],
diag: {
misc_undefined: ["signed-integer-overflow",
"unsigned-integer-overflow",],
},
BLOCKLIST: "modulename_BLOCKLIST.txt",
},समस्या का हल
अगर नए कॉम्पोनेंट में पूर्णांक के ओवरफ़्लो को साफ़ करने की सुविधा चालू की जा रही है या ऐसी प्लैटफ़ॉर्म लाइब्रेरी का इस्तेमाल किया जा रहा है जिनमें पूर्णांक के ओवरफ़्लो को साफ़ करने की सुविधा है, तो आपको कुछ समस्याएं आ सकती हैं. इन समस्याओं की वजह से, प्रोसेस बीच में रुक सकती है. आपको घटकों की जांच, 'साफ़ करें' सुविधा चालू करके करनी चाहिए, ताकि यह पक्का किया जा सके कि बिना किसी नुकसान के ओवरफ़्लो दिखाए जा सकते हैं.
उपयोगकर्ता के बिल्ड में, डेटा को साफ़ करने की प्रोसेस की वजह से क्रैश होने की जानकारी पाने के लिए, SIGABRT ऐसे क्रैश खोजें जिनमें 'कार्रवाई रोकें' मैसेज दिखते हों. इन मैसेज से पता चलता है कि UBSan ने किसी ओवरफ़्लो का पता लगाया है. जैसे:
pid: ###, tid: ###, name: Binder:### >>> /system/bin/surfaceflinger <<< signal 6 (SIGABRT), code -6 (SI_TKILL), fault addr -------- Abort message: 'ubsan: sub-overflow'
स्टैक ट्रेस में, उस फ़ंक्शन को शामिल करना चाहिए जिसकी वजह से प्रोसेस बंद हुई. हालांकि, ऐसा हो सकता है कि इनलाइन फ़ंक्शन में होने वाले ओवरफ़्लो, स्टैक ट्रेस में न दिखें.
समस्या की मूल वजह को आसानी से पता लगाने के लिए, लाइब्रेरी में डाइग्नोस्टिक्स टूल चालू करें और फिर से गड़बड़ी को ट्रिगर करें. गड़बड़ी की जानकारी देने की सुविधा चालू होने पर, प्रोसेस बंद नहीं होगी. इसके बजाय, यह प्रोसेस जारी रहेगी. प्रोसेस को बीच में न रोकने से, किसी खास प्रोसेस पाथ में, गैर-हानिकारक ओवरफ़्लो की संख्या को बढ़ाने में मदद मिलती है. ऐसा करने के लिए, हर गड़बड़ी को ठीक करने के बाद, प्रोग्राम को फिर से कंपाइल करने की ज़रूरत नहीं होती. गड़बड़ी की जानकारी देने वाला टूल, गड़बड़ी का एक मैसेज दिखाता है. इसमें उस लाइन नंबर और सोर्स फ़ाइल की जानकारी होती है जिसकी वजह से प्रोसेस को रोका गया है:
frameworks/native/services/surfaceflinger/SurfaceFlinger.cpp:2188:32: runtime error: unsigned integer overflow: 0 - 1 cannot be represented in type 'size_t' (aka 'unsigned long')
गणितीय ऑपरेशन में समस्या का पता चलने के बाद, पक्का करें कि ओवरफ़्लो सही और सही जगह पर हो (जैसे, सुरक्षा पर कोई असर न डालता हो). सैनिटाइज़र के काम न करने की समस्या को ठीक करने के लिए:
- ओवरफ़्लो से बचने के लिए, कोड को फिर से लिखना (उदाहरण)
- Clang के __builtin_*_overflow फ़ंक्शन के ज़रिए, साफ़ तौर पर ओवरफ़्लो करना (उदाहरण)
no_sanitizeएट्रिब्यूट की वैल्यू डालकर, फ़ंक्शन में डेटा को साफ़ करने की सुविधा बंद करना (उदाहरण)- BLOCKLIST फ़ाइल की मदद से, किसी फ़ंक्शन या सोर्स फ़ाइल को साफ़ करने की सुविधा बंद करना (उदाहरण)
आपको सबसे सटीक समाधान का इस्तेमाल करना चाहिए. उदाहरण के लिए, अगर किसी बड़े फ़ंक्शन में कई अंकगणितीय ऑपरेशन और एक ओवरफ़्लो ऑपरेशन है, तो पूरे फ़ंक्शन को ब्लॉक किए जाने के बजाय, सिर्फ़ उस ऑपरेशन को फिर से तैयार किया जाना चाहिए.
आम तौर पर, इन पैटर्न की वजह से गैर-हानिकारक ओवरफ़्लो हो सकते हैं:
- ऐसी असाइनमेंट जिनमें साइन वाले टाइप में असाइन करने से पहले, बिना साइन वाले टाइप में ओवरफ़्लो होता है (उदाहरण)
- लिंक की गई सूची को मिटाने पर, लूप इंडेक्स कम हो जाता है (उदाहरण)
- असल मैक्स वैल्यू बताने के बजाय, -1 को बिना साइन वाला टाइप असाइन करना (उदाहरण)
- ऐसे लूप जो शर्त में बिना हस्ताक्षर वाले पूर्णांक को घटाते हैं (उदाहरण, उदाहरण)
हमारा सुझाव है कि डेवलपर यह पक्का कर लें कि सैनिटाइज़र के किसी डेटा के ओवरफ़्लो का पता चलने पर, वह डेटा असल में नुकसान पहुंचाने वाला न हो. साथ ही, उससे सुरक्षा पर कोई असर न पड़ रहा हो. इसके बाद ही, डेटा को सैनिटाइज़ करने की सुविधा बंद करें.
IntSan बंद करना
ब्लॉकलिस्ट या फ़ंक्शन एट्रिब्यूट की मदद से, IntSan को बंद किया जा सकता है. इसे कम ही इस्तेमाल करें और सिर्फ़ तब इस्तेमाल करें, जब कोड को फिर से लिखना सही न हो या परफ़ॉर्मेंस में समस्या हो.
फ़ंक्शन एट्रिब्यूट और ब्लॉकलिस्ट फ़ाइल के फ़ॉर्मैट की मदद से, IntSan को बंद करने के बारे में ज़्यादा जानने के लिए, अपस्ट्रीम Clang दस्तावेज़ देखें. टारगेट किए गए सैनिटाइज़र की जानकारी देने वाले सेक्शन के नाम का इस्तेमाल करके, किसी खास सैनिटाइज़र के लिए ब्लॉकलिस्ट का दायरा तय किया जाना चाहिए. इससे, अन्य सैनिटाइज़र पर असर नहीं पड़ेगा.
पुष्टि करें
फ़िलहाल, खास तौर पर इंटिजर ओवरफ़्लो सैनिटाइज़ेशन के लिए, सीटीएस का कोई टेस्ट नहीं है. इसके बजाय, पक्का करें कि IntSan चालू होने पर और बंद होने पर, दोनों ही स्थितियों में सीटीएस टेस्ट पास हो जाएं. इससे यह पुष्टि की जा सकेगी कि इसका डिवाइस पर कोई असर नहीं पड़ रहा है.
सीमाओं को सैनिटाइज़ करना
BoundsSanitizer (BoundSan), ऐरे ऐक्सेस के आस-पास सीमाओं की जांच करने के लिए, बाइनरी में इंस्ट्रूमेंटेशन जोड़ता है. ये जांच तब जोड़ी जाती हैं, जब कंपाइलर, कंपाइल करने के समय यह साबित नहीं कर पाता कि ऐक्सेस सुरक्षित होगा. साथ ही, अगर ऐरे का साइज़ रनटाइम के दौरान पता चलता है, तो इसकी जांच की जा सकती है. Android 10, ब्लूटूथ और कोडेक में BoundSan को डिप्लॉय करता है. BoundSan, कंपाइलर की ओर से उपलब्ध कराया जाता है. साथ ही, यह पूरे प्लैटफ़ॉर्म के अलग-अलग कॉम्पोनेंट में डिफ़ॉल्ट रूप से चालू होता है.
लागू करना
BoundSan, UBSan के सीमाओं को सुरक्षित रखने वाले टूल का इस्तेमाल करता है. यह समस्या हल करने की सुविधा, हर मॉड्यूल के लेवल पर चालू होती है. इससे Android के अहम कॉम्पोनेंट को सुरक्षित रखने में मदद मिलती है. इसलिए, इसे बंद नहीं किया जाना चाहिए.
हमारा सुझाव है कि आप अन्य कॉम्पोनेंट के लिए BoundSan को चालू करें. इसके लिए, ऐसे नेटिव कोड का इस्तेमाल करना चाहिए जिनमें विशेष अनुमतियां हों या जो बहुत जटिल हों. साथ ही, ऐसे कोड का इस्तेमाल करना चाहिए जो उपयोगकर्ता के अविश्वसनीय इनपुट को पार्स करता हो. BoundSan को चालू करने से जुड़ी परफ़ॉर्मेंस में होने वाली बढ़ोतरी, उन ऐरे ऐक्सेस की संख्या पर निर्भर करती है जिन्हें सुरक्षित नहीं माना जा सकता. औसतन, थोड़ा ओवरहेड प्रतिशत होने की उम्मीद करें और देखें कि परफ़ॉर्मेंस पर असर पड़ रहा है या नहीं.
ब्लूप्रिंट फ़ाइलों में BoundSan की सुविधा चालू करना
BoundSan को ब्लूप्रिंट फ़ाइलों में चालू किया जा सकता है. इसके लिए, बाइनरी और लाइब्रेरी मॉड्यूल के लिए, misc_undefined sanitize प्रॉपर्टी में "bounds"
जोड़ें:
sanitize: {
misc_undefined: ["bounds"],
diag: {
misc_undefined: ["bounds"],
},
BLOCKLIST: "modulename_BLOCKLIST.txt",diag
diag प्रॉपर्टी, सैनिटाइज़र के लिए गड़बड़ी का पता लगाने वाले मोड को चालू करती है.
गड़बड़ी की जानकारी देने वाले मोड का इस्तेमाल सिर्फ़ टेस्टिंग के दौरान करें. डाइग्नोस्टिक्स मोड, ओवरफ़्लो होने पर प्रोसेस को बंद नहीं करता. इससे, सुरक्षा से जुड़े फ़ायदे काफ़ी हद तक कम हो जाते हैं और परफ़ॉर्मेंस पर ज़्यादा असर पड़ता है. इसलिए, इसका सुझाव प्रोडक्शन बिल्ड के लिए नहीं दिया जाता.
ब्लॉकलिस्ट
BLOCKLIST प्रॉपर्टी की मदद से, BLOCKLIST फ़ाइल तय की जा सकती है. डेवलपर इसका इस्तेमाल करके, फ़ंक्शन और सोर्स फ़ाइलों को साफ़ किए जाने से रोक सकते हैं. इस प्रॉपर्टी का इस्तेमाल सिर्फ़ तब करें, जब परफ़ॉर्मेंस में कोई समस्या हो और टारगेट की गई फ़ाइलों/फ़ंक्शन का योगदान काफ़ी ज़्यादा हो. इन फ़ाइलों/फ़ंक्शन का मैन्युअल तौर पर ऑडिट करें,
ताकि यह पक्का किया जा सके कि ऐरे के ऐक्सेस सुरक्षित हैं. ज़्यादा जानकारी के लिए, समस्या हल करना देखें.
मेकफ़ाइलों में BoundSan चालू करना
बाइनरी और लाइब्रेरी मॉड्यूल के लिए, LOCAL_SANITIZE वैरिएबल में "bounds"
जोड़कर, मेकफ़ाइल में BoundSan को चालू किया जा सकता है:
LOCAL_SANITIZE := bounds # Optional features LOCAL_SANITIZE_DIAG := bounds LOCAL_SANITIZE_BLOCKLIST := modulename_BLOCKLIST.txt
LOCAL_SANITIZE, कॉमा लगाकर अलग की गई sanitizers की सूची को स्वीकार करता है.
LOCAL_SANITIZE_DIAG, गड़बड़ी की जानकारी देने वाला मोड चालू करता है. गड़बड़ी की जानकारी देने वाले मोड का इस्तेमाल सिर्फ़ टेस्टिंग के दौरान करें. डाइग्नोस्टिक्स मोड, ओवरफ़्लो होने पर प्रोसेस को बंद नहीं करता. इससे, प्रोसेस को कम करने के सुरक्षा फ़ायदे काफ़ी हद तक कम हो जाते हैं. साथ ही, परफ़ॉर्मेंस पर ज़्यादा असर पड़ता है. इसलिए, प्रोडक्शन बिल्ड के लिए इसका सुझाव नहीं दिया जाता.
LOCAL_SANITIZE_BLOCKLIST की मदद से, BLOCKLIST वाली फ़ाइल तय की जा सकती है. इससे डेवलपर, फ़ंक्शन और सोर्स फ़ाइलों को साफ़ किए जाने से रोक सकते हैं. इस प्रॉपर्टी का इस्तेमाल सिर्फ़ तब करें, जब परफ़ॉर्मेंस में कोई समस्या हो और टारगेट की गई फ़ाइलों/फ़ंक्शन का योगदान काफ़ी ज़्यादा हो. इन फ़ाइलों/फ़ंक्शन का मैन्युअल तौर पर ऑडिट करें,
ताकि यह पक्का किया जा सके कि ऐरे के ऐक्सेस सुरक्षित हैं. ज़्यादा जानकारी के लिए, समस्या हल करना देखें.
BoundSan बंद करना
फ़ंक्शन और सोर्स फ़ाइलों में, ब्लॉकलिस्ट या फ़ंक्शन एट्रिब्यूट की मदद से BoundSan को बंद किया जा सकता है. BoundSan को चालू रखना सबसे अच्छा होता है. इसलिए, इसे सिर्फ़ तब बंद करें, जब फ़ंक्शन या फ़ाइल की परफ़ॉर्मेंस पर ज़्यादा असर पड़ रहा हो और सोर्स की मैन्युअल तौर पर समीक्षा की जा चुकी हो.
फ़ंक्शन एट्रिब्यूट और ब्लॉकलिस्ट फ़ाइल फ़ॉर्मैटिंग की मदद से, BoundSan को बंद करने के बारे में ज़्यादा जानने के लिए, Clang LLVM का दस्तावेज़ देखें. टारगेट किए गए सैनिटाइज़र के सेक्शन के नाम का इस्तेमाल करके, किसी खास सैनिटाइज़र को ब्लॉकलिस्ट में शामिल करें. इससे, अन्य सैनिटाइज़र पर असर नहीं पड़ेगा.
पुष्टि करें
BoundSan के लिए, सीटीएस टेस्ट उपलब्ध नहीं हैं. इसके बजाय, पक्का करें कि BoundSan चालू होने पर और बंद होने पर, दोनों ही स्थितियों में सीटीएस टेस्ट पास हो जाएं. इससे यह पुष्टि की जा सकेगी कि BoundSan का डिवाइस पर कोई असर नहीं पड़ रहा है.
समस्या का हल
BoundSan चालू करने के बाद, कॉम्पोनेंट की पूरी तरह से जांच करें. इससे यह पक्का किया जा सकेगा कि पहले से मौजूद, सीमाओं से बाहर के ऐक्सेस को ठीक कर दिया गया है.
BoundSan की गड़बड़ियों की पहचान आसानी से की जा सकती है, क्योंकि इनमें यह मैसेज शामिल होता है:
pid: ###, tid: ###, name: Binder:### >>> /system/bin/foobar <<< signal 6 (SIGABRT), code -6 (SI_TKILL), fault addr -------- Abort message: 'ubsan: out-of-bounds'
गड़बड़ी की जानकारी देने वाले मोड में चलने पर, सोर्स फ़ाइल, लाइन नंबर, और इंडेक्स
वैल्यू को logcat में प्रिंट किया जाता है. डिफ़ॉल्ट रूप से, यह मोड
'कार्रवाई रोकें' मैसेज नहीं दिखाता. किसी भी तरह की गड़बड़ी की जांच करने के लिए, logcat देखें.
external/foo/bar.c:293:13: runtime error: index -1 out of bounds for type 'int [24]'