Fuzzing, שפשוט מספקים מידע לא חוקי, לא צפוי או אקראי כקלט לתוכנית, היא דרך יעילה במיוחד למצוא באגים מערכות תוכנה גדולות, וזה חלק חשוב בפיתוח התוכנה במחזור החיים.
מערכת ה-build של Android תומכת ב-fuzzing על ידי הוספה של libFuzzer מ- את פרויקט התשתית של מהדר (compiler) ב-LLVM. LibFuzzer מקושר לספרייה בבדיקה ומטפל בכל הקלט דיווח על בחירה, מוטציה וקריסה שמתרחשים במהלך סשן fuzzing. חומרי החיטוי של LLVM משמשים לסיוע בזיהוי של פגיעה בזיכרון ובקוד מדדי כיסוי.
מאמר זה מספק מבוא ל-libFuzzer ב-Android ואיך מבצעים פיתוח אינסטרומנטלי. הוא כולל גם הוראות לכתיבה, הרצה להתאים אישית fuzzers.
הגדרה ופיתוח
כדי לוודא שהתמונה פעילה במכשיר, אפשר להוריד מפעל תמונה והבהוב של המכשיר. לחלופין, אפשר להוריד את המקור של ה-AOSP ולעקוב אחרי ההוראות להגדרה ול-build שכאן.
דוגמה להגדרה
בדוגמה הזו יצאנו מנקודת הנחה שמכשיר היעד הוא Pixel (taimen
)
כבר מוכן לניפוי באגים ב-USB (aosp_taimen-userdebug
). שלך
יכול להוריד קבצים בינאריים אחרים של Pixel מהקבצים הבינאריים של Drive.
mkdir ~/bin
export PATH=~/bin:$PATH
curl https://storage.googleapis.com/git-repo-downloads/repo > ~/bin/repo
chmod a+x ~/bin/repo
repo init -u https://android.googlesource.com/platform/manifest -b main
repo sync -c -j8
wget https://dl.google.com/dl/android/aosp/google_devices-taimen-qq1a.191205.008-f4537f93.tgz
tar xvf google_devices-taimen-qq1a.191205.008-f4537f93.tgz
./extract-google_devices-taimen.sh
wget https://dl.google.com/dl/android/aosp/qcom-taimen-qq1a.191205.008-760afa6e.tgz
tar xvf qcom-taimen-qq1a.191205.008-760afa6e.tgz
./extract-qcom-taimen.sh
. build/envsetup.sh
lunch aosp_taimen-userdebug
דוגמה ל-Build
השלב הראשון של הרצת מטרות עסקיות מעורפלות הוא לקבל תמונת מערכת חדשה. רביעי מומלץ להיות עם גרסת הפיתוח העדכנית ביותר של Android, לכל הפחות.
- כדי לבצע את ה-build הראשוני, צריך לבצע הנפקה:
m
- כדי לאפשר לך להבהב את המכשיר, הפעל את המכשיר למצב אתחול מהיר באמצעות התוכן המתאים שילוב מקשים.
- מבטלים את נעילת תוכנת האתחול ומריצים את התמונה החדשה שעברה הידור באמצעות הרכיבים הבאים
פקודות.
fastboot oem unlock
fastboot flashall
מכשיר היעד אמור להיות מוכן כעת ל-libFuzzer fuzzer.
כתיבת fuzzer
כדי להדגים כתיבת fuzzer מקצה לקצה באמצעות libFuzzer ב-Android, משתמשים ב לעקוב אחרי קוד פגיע כמקרה בדיקה. זה עוזר לבדוק את התמונה הפוכה, הכול פועל בצורה תקינה, יש להדגים איך נראים נתוני הקריסה.
זוהי פונקציית הבדיקה.
#include <stdint.h> #include <stddef.h> bool FuzzMe(const char *data, size_t dataSize) { return dataSize >= 3 && data[0] == 'F' && data[1] == 'U' && data[2] == 'Z' && data[3] == 'Z'; // ← Out of bounds access }
כדי ליצור ולהריץ את fuzzer לניסיון:
- יעד fuzz מורכב משני קבצים: קובץ build וקוד המקור של יעד fuzz. יוצרים את הקבצים במיקום ליד הספרייה שמחדדים את הנתונים. נותנים ל-fuzzer שמתאר את מה שה-fuzzer עושה.
- כתבו יעד fuzz באמצעות libFuzzer. יעד ה-fuzz הוא פונקציה
לוקח blob של נתונים בגודל שצוין ומעביר אותו לפונקציה
מעוות. הנה קטע קוד בסיסי לפונקציית הבדיקה הפגיעה:
#include <stddef.h> #include <stdint.h> extern "C" int LLVMFuzzerTestOneInput(const char *data, size_t size) { // ... // Use the data to call the library you are fuzzing. // ... return FuzzMe(data, size); }
- אומרים למערכת ה-build של Android ליצור את קובץ ה-fuzzer בינארי.
כדי לבנות את ה-fuzzer, מוסיפים את הקוד הבא לקובץ
Android.bp
:cc_fuzz { name: "fuzz_me_fuzzer", srcs: [ "fuzz_me_fuzzer.cpp", ], // If the fuzzer has a dependent library, uncomment the following section and // include it. // static_libs: [ // "libfoo", // Dependent library // ], // // The advanced features below allow you to package your corpus and // dictionary files during building. You can find more information about // these features at: // - Corpus: https://llvm.org/docs/LibFuzzer.html#corpus // - Dictionaries: https://llvm.org/docs/LibFuzzer.html#dictionaries // These features are not required for fuzzing, but are highly recommended // to gain extra coverage. // To include a corpus folder, uncomment the following line. // corpus: ["corpus/*"], // To include a dictionary, uncomment the following line. // dictionary: "fuzz_me_fuzzer.dict", }
- כדי ליצור fuzzer להרצה על היעד (מכשיר):
SANITIZE_TARGET=hwaddress m fuzz_me_fuzzer
- כדי ליצור fuzzer להרצה במארח:
SANITIZE_HOST=address m fuzz_me_fuzzer
לנוחיותכם, ניתן להגדיר כמה משתני מעטפת שמכילים את הנתיב אל ה-fuzz. היעד ואת שם הקובץ הבינארי (מקובץ ה-build שכתבת קודם).
export FUZZER_NAME=your_fuzz_target
אחרי ביצוע השלבים האלה, אמור להיות לכם fuzzer מובנה. ברירת המחדל המיקום של ה-fuzzer (לדוגמה, גרסת ה-build של Pixel) הוא:
הפעלת fuzzer במארח
host_supported: true,שימו לב שאפשר להחיל את האפשרות הזו רק אם הספרייה שרוצים להסתיר היא מארחת נתמך.
$ANDROID_HOST_OUT/fuzz/x86_64/$FUZZER_NAME/$FUZZER_NAME
הרצה של fuzzer במכשיר
אנחנו רוצים להעתיק את הפריט הזה למכשיר שלך באמצעות adb
.
- כדי להעלות את הקבצים האלה לספרייה במכשיר, מריצים את הפקודה
פקודות:
adb root
adb sync data
- מריצים את fuzzer לבדיקה במכשיר באמצעות הפקודה הבאה:
adb shell /data/fuzz/$(get_build_var TARGET_ARCH)/$FUZZER_NAME/$FUZZER_NAME \ /data/fuzz/$(get_build_var TARGET_ARCH)/$FUZZER_NAME/corpus
כתוצאה מכך, הפלט יהיה דומה לפלט לדוגמה שבהמשך.
INFO: Seed: 913963180 INFO: Loaded 2 modules (16039 inline 8-bit counters): 16033 [0x7041769b88, 0x704176da29), 6 [0x60e00f4df0, 0x60e00f4df6), INFO: Loaded 2 PC tables (16039 PCs): 16033 [0x704176da30,0x70417ac440), 6 [0x60e00f4df8,0x60e00f4e58), INFO: -max_len is not provided; libFuzzer will not generate inputs larger than 4096 bytes INFO: A corpus is not provided, starting from an empty corpus #2 INITED cov: 5 ft: 5 corp: 1/1b exec/s: 0 rss: 24Mb #10 NEW cov: 6 ft: 6 corp: 2/4b lim: 4 exec/s: 0 rss: 24Mb L: 3/3 MS: 3 CopyPart-ChangeByte-InsertByte- #712 NEW cov: 7 ft: 7 corp: 3/9b lim: 8 exec/s: 0 rss: 24Mb L: 5/5 MS: 2 InsertByte-InsertByte- #744 REDUCE cov: 7 ft: 7 corp: 3/7b lim: 8 exec/s: 0 rss: 25Mb L: 3/3 MS: 2 ShuffleBytes-EraseBytes- #990 REDUCE cov: 8 ft: 8 corp: 4/10b lim: 8 exec/s: 0 rss: 25Mb L: 3/3 MS: 1 ChangeByte- ==18631==ERROR: HWAddressSanitizer: tag-mismatch on address 0x0041e00b4183 at pc 0x0060e00c5144 READ of size 1 at 0x0041e00b4183 tags: f8/03 (ptr/mem) in thread T0 #0 0x60e00c5140 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0xf140) #1 0x60e00ca130 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x14130) #2 0x60e00c9b8c (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x13b8c) #3 0x60e00cb188 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x15188) #4 0x60e00cbdec (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x15dec) #5 0x60e00d8fbc (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x22fbc) #6 0x60e00f0a98 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x3aa98) #7 0x7041b75d34 (/data/fuzz/arm64/lib/libc.so+0xa9d34) [0x0041e00b4180,0x0041e00b41a0) is a small allocated heap chunk; size: 32 offset: 3 0x0041e00b4183 is located 0 bytes to the right of 3-byte region [0x0041e00b4180,0x0041e00b4183) allocated here: #0 0x70418392bc (/data/fuzz/arm64/lib/libclang_rt.hwasan-aarch64-android.so+0x212bc) #1 0x60e00ca040 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x14040) #2 0x60e00c9b8c (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x13b8c) #3 0x60e00cb188 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x15188) #4 0x60e00cbdec (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x15dec) #5 0x60e00d8fbc (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x22fbc) #6 0x60e00f0a98 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x3aa98) #7 0x7041b75d34 (/data/fuzz/arm64/lib/libc.so+0xa9d34) #8 0x60e00c504c (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0xf04c) #9 0x70431aa9c4 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x519c4) Thread: T1 0x006700006000 stack: [0x007040c55000,0x007040d4ecc0) sz: 1023168 tls: [0x000000000000,0x000000000000) Thread: T0 0x006700002000 stack: [0x007fe51f3000,0x007fe59f3000) sz: 8388608 tls: [0x000000000000,0x000000000000) Memory tags around the buggy address (one tag corresponds to 16 bytes): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 08 00 cf 08 dc 08 cd 08 b9 08 1a 1a 0b 00 04 3f => 27 00 08 00 bd bd 2d 07 [03] 73 66 66 27 27 20 f6 <= 5b 5b 87 87 03 00 01 00 4f 04 24 24 03 39 2c 2c 05 00 04 00 be be 85 85 04 00 4a 4a 05 05 5f 5f 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 Tags for short granules around the buggy address (one tag corresponds to 16 bytes): 04 .. .. cf .. dc .. cd .. b9 .. .. 3f .. 57 .. => .. .. 21 .. .. .. .. 2d [f8] .. .. .. .. .. .. .. <= .. .. .. .. 9c .. e2 .. .. 4f .. .. 99 .. .. .. See https://clang.llvm.org/docs/HardwareAssistedAddressSanitizerDesign.html#short-granules for a description of short granule tags Registers where the failure occurred (pc 0x0060e00c5144): x0 f8000041e00b4183 x1 000000000000005a x2 0000000000000006 x3 000000704176d9c0 x4 00000060e00f4df6 x5 0000000000000004 x6 0000000000000046 x7 000000000000005a x8 00000060e00f4df0 x9 0000006800000000 x10 0000000000000001 x11 00000060e0126a00 x12 0000000000000001 x13 0000000000000231 x14 0000000000000000 x15 000e81434c909ede x16 0000007041838b14 x17 0000000000000003 x18 0000007042b80000 x19 f8000041e00b4180 x20 0000006800000000 x21 000000000000005a x22 24000056e00b4000 x23 00000060e00f5200 x24 00000060e0128c88 x25 00000060e0128c20 x26 00000060e0128000 x27 00000060e0128000 x28 0000007fe59f16e0 x29 0000007fe59f1400 x30 00000060e00c5144 SUMMARY: HWAddressSanitizer: tag-mismatch (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0xf140) MS: 1 ChangeByte-; base unit: e09f9c158989c56012ccd88111b82f778a816eae 0x46,0x55,0x5a, FUZ artifact_prefix='./'; Test unit written to ./crash-0eb8e4ed029b774d80f2b66408203801cb982a60 Base64: RlVa
בפלט לדוגמה, הקריסה נגרמה על ידי fuzz_me_fuzzer.cpp
בשורה 10:
data[3] == 'Z'; // :(
זו קריאה ברורה מחוץ לתחום אם האורך של data
הוא 3.
לאחר הפעלת fuzzer, הפלט יגרום בדרך כלל לקריסה ולפגיעה
נשמר בקורפוס וניתן לו מזהה. בפלט לדוגמה,
crash-0eb8e4ed029b774d80f2b66408203801cb982a60
כדי לאחזר פרטי קריסה במהלך יצירת fuzzing במכשיר, מריצים את הפקודה הבאה, שמציין את מזהה הקריסה:
adb pull /data/fuzz/arm64/fuzz_me_fuzzer/corpus/CRASH_IDשים לב שכדי לשמור מקרי בדיקה בספרייה הנכונה, אפשר להשתמש תיקיית קורפוס (כמו בדוגמה שלמעלה) או שימוש בארגומנט Artifact_prefix (למשל: `-artifact_prefix=/data/fuzz/where/my/crashes/go`).
בעת fuzzing על מארח, פרטי הקריסה מופיעים בתיקיית הקריסה התיקייה המקומית שבה מריצים את ה-fuzzer.
יצירת כיסוי של קו
כיסוי שורות שימושי מאוד למפתחים מכיוון שהם יכולים לזהות אזורים בקוד שאינם מכסים ומעדכנים את הזרועות שלהם בהתאם כדי להגיע לאזורים האלה בהריצות מעורפלות עתידיות.
- כדי להפיק דוחות כיסוי ב-fuzzer, מריצים את השלבים הבאים :
CLANG_COVERAGE=true NATIVE_COVERAGE_PATHS='*' make ${FUZZER_NAME}
- אחרי שדוחפים את ה-fuzzer ואת יחסי התלות שלו למכשיר, מריצים את יעד ה-fuzz באמצעות
LLVM_PROFILE_FILE
באופן הזה:DEVICE_TRACE_PATH=/data/fuzz/$(get_build_var TARGET_ARCH)/${FUZZER_NAME}/data.profraw
adb shell LLVM_PROFILE_FILE=${DEVICE_TRACE_PATH} /data/fuzz/$(get_build_var TARGET_ARCH)/${FUZZER_NAME}/${FUZZER_NAME} -runs=1000
- כדי להפיק את דוח הכיסוי, קודם מושכים את הקובץ מהמכשיר מהמכשיר ואז יוצרים את דוח ה-HTML לתיקייה שנקראת coverageת ב-HTML כמו בדוגמה הבאה:
adb pull ${DEVICE_TRACE_PATH} data.profraw
llvm-profdata merge --sparse data.profraw --output data.profdata
llvm-cov show --format=html --instr-profile=data.profdata \ symbols/data/fuzz/$(get_build_var TARGET_ARCH)/${FUZZER_NAME}/${FUZZER_NAME} \ --output-dir=coverage-html --path-equivalence=/proc/self/cwd/,$ANDROID_BUILD_TOP