Kernel Address Sanitizer

ユーザー空間コンポーネント用の LLVM ベースのサニタイザーと同様に、Android には Kernel Address Sanitizer(KASan)が含まれています。KASan は、カーネルとコンパイル時の変更を組み合わせたインストルメンテーション システムで、バグの検出と根本原因の分析を容易にします。

KASan は、カーネル内のさまざまな種類のメモリ違反を検出できます。また、スタック、ヒープ、グローバル変数に対する境界外の読み取りと書き込みを検出し、use-after-free(解放後の使用)と double-free(二重解放)を検出できます。

KASan は、ASan と同様に、コンパイル時のメモリ関数のインストルメンテーションとシャドウメモリの組み合わせを使用して、ランタイム時のメモリアクセスをトラッキングします。KASan では、カーネルメモリ空間の 8 分の 1 がシャドウメモリ専用で、これによりメモリアクセスが有効かどうかを判断します。

KASan は x86_64 および arm64 アーキテクチャでサポートされています。4.0 以降はアップストリーム カーネルに含まれており、Android 3.18 ベースのカーネルにバックポートされています。

KASan に加えて、テストに役立つもう 1 つのカーネル変更として kcov があります。kcov は、カーネルでカバレッジに基づくファズテストを実施できるように開発されました。syscall 入力の観点からカバレッジを測定するものであり、syzkaller などのファジング システムで役立ちます。

実装

KASan と kcov を有効にしてカーネルをコンパイルするには、カーネルのビルド構成に次のビルドフラグを追加します。

CONFIG_KASAN
CONFIG_KASAN_INLINE
CONFIG_TEST_KASAN
CONFIG_KCOV
CONFIG_SLUB
CONFIG_SLUB_DEBUG
CONFIG_CC_OPTIMIZE_FOR_SIZE

さらに、次を削除します。 

CONFIG_SLUB_DEBUG_ON
CONFIG_SLUB_DEBUG_PANIC_ON
CONFIG_KASAN_OUTLINE
CONFIG_KERNEL_LZ4

次に、通常どおりカーネルをビルドしてフラッシュします。KASan カーネルは元のカーネルよりかなり大きくなります。このことを考慮して、必要であれば、起動パラメータとブートローダーの設定を変更します。

カーネルをフラッシュした後、KASan が有効化され実行中かどうかをカーネル起動ログで確認します。カーネルは、次のような KASan 用のメモリマップ情報で起動します。

...
[    0.000000] c0      0 Virtual kernel memory layout:
[    0.000000] c0      0     kasan   : 0xffffff8000000000 - 0xffffff9000000000   (    64 GB)
[    0.000000] c0      0     vmalloc : 0xffffff9000010000 - 0xffffffbdbfff0000   (   182 GB)
[    0.000000] c0      0     vmemmap : 0xffffffbdc0000000 - 0xffffffbfc0000000   (     8 GB maximum)
[    0.000000] c0      0               0xffffffbdc0000000 - 0xffffffbdc3f95400   (    63 MB actual)
[    0.000000] c0      0     PCI I/O : 0xffffffbffa000000 - 0xffffffbffb000000   (    16 MB)
[    0.000000] c0      0     fixed   : 0xffffffbffbdfd000 - 0xffffffbffbdff000   (     8 KB)
[    0.000000] c0      0     modules : 0xffffffbffc000000 - 0xffffffc000000000   (    64 MB)
[    0.000000] c0      0     memory  : 0xffffffc000000000 - 0xffffffc0fe550000   (  4069 MB)
[    0.000000] c0      0       .init : 0xffffffc001d33000 - 0xffffffc001dce000   (   620 KB)
[    0.000000] c0      0       .text : 0xffffffc000080000 - 0xffffffc001d32284   ( 29385 KB)
...

バグは次のように表示されます。 

[   18.539668] c3      1 ==================================================================
[   18.547662] c3      1 BUG: KASAN: null-ptr-deref on address 0000000000000008
[   18.554689] c3      1 Read of size 8 by task swapper/0/1
[   18.559988] c3      1 CPU: 3 PID: 1 Comm: swapper/0 Tainted: G        W      3.18.24-xxx #1
[   18.569275] c3      1 Hardware name: Android Device
[   18.577433] c3      1 Call trace:
[   18.580739] c3      1 [<ffffffc00008b32c>] dump_backtrace+0x0/0x2c4
[   18.586985] c3      1 [<ffffffc00008b600>] show_stack+0x10/0x1c
[   18.592889] c3      1 [<ffffffc001481194>] dump_stack+0x74/0xc8
[   18.598792] c3      1 [<ffffffc000202ee0>] kasan_report+0x11c/0x4d0
[   18.605038] c3      1 [<ffffffc00020286c>] __asan_load8+0x20/0x80
[   18.611115] c3      1 [<ffffffc000bdefe8>] android_verity_ctr+0x8cc/0x1024
[   18.617976] c3      1 [<ffffffc000bcaa2c>] dm_table_add_target+0x3dc/0x50c
[   18.624832] c3      1 [<ffffffc001bdbe60>] dm_run_setup+0x50c/0x678
[   18.631082] c3      1 [<ffffffc001bda8c0>] prepare_namespace+0x44/0x1ac
[   18.637676] c3      1 [<ffffffc001bda170>] kernel_init_freeable+0x328/0x364
[   18.644625] c3      1 [<ffffffc001478e20>] kernel_init+0x10/0xd8
[   18.650613] c3      1 ==================================================================

また、カーネルでモジュールが有効になっている場合は、test_kasan カーネル モジュールを読み込んでさらにテストできます。このモジュールは out-of-bounds メモリアクセスと use-after-free を試行し、ターゲット デバイスで KASan が正しく有効になっていることを確認するうえで役立ちます。