Fuzz עם libFuzzer

Fuzzing, שפשוט מספקים מידע לא חוקי, לא צפוי או אקראי כקלט לתוכנית, היא דרך יעילה במיוחד למצוא באגים מערכות תוכנה גדולות, וזה חלק חשוב בפיתוח התוכנה במחזור החיים.

מערכת ה-build של Android תומכת ב-fuzzing על ידי הוספה של libFuzzer מ- את פרויקט התשתית של מהדר (compiler) ב-LLVM. LibFuzzer מקושר לספרייה בבדיקה ומטפל בכל הקלט דיווח על בחירה, מוטציה וקריסה שמתרחשים במהלך סשן fuzzing. חומרי החיטוי של LLVM משמשים לסיוע בזיהוי של פגיעה בזיכרון ובקוד מדדי כיסוי.

מאמר זה מספק מבוא ל-libFuzzer ב-Android ואיך מבצעים פיתוח אינסטרומנטלי. הוא כולל גם הוראות לכתיבה, הרצה להתאים אישית fuzzers.

הגדרה ופיתוח

כדי לוודא שהתמונה פעילה במכשיר, אפשר להוריד מפעל תמונה והבהוב של המכשיר. לחלופין, אפשר להוריד את המקור של ה-AOSP ולעקוב אחרי ההוראות להגדרה ול-build שכאן.

דוגמה להגדרה

בדוגמה הזו יצאנו מנקודת הנחה שמכשיר היעד הוא Pixel (taimen) כבר מוכן לניפוי באגים ב-USB (aosp_taimen-userdebug). שלך יכול להוריד קבצים בינאריים אחרים של Pixel מהקבצים הבינאריים של Drive.

mkdir ~/bin
export PATH=~/bin:$PATH
curl https://storage.googleapis.com/git-repo-downloads/repo > ~/bin/repo
chmod a+x ~/bin/repo
repo init -u https://android.googlesource.com/platform/manifest -b main
repo sync -c -j8
wget https://dl.google.com/dl/android/aosp/google_devices-taimen-qq1a.191205.008-f4537f93.tgz
tar xvf google_devices-taimen-qq1a.191205.008-f4537f93.tgz
./extract-google_devices-taimen.sh
wget https://dl.google.com/dl/android/aosp/qcom-taimen-qq1a.191205.008-760afa6e.tgz
tar xvf qcom-taimen-qq1a.191205.008-760afa6e.tgz
./extract-qcom-taimen.sh
. build/envsetup.sh
lunch aosp_taimen-userdebug

דוגמה ל-Build

השלב הראשון של הרצת מטרות עסקיות מעורפלות הוא לקבל תמונת מערכת חדשה. רביעי מומלץ להיות עם גרסת הפיתוח העדכנית ביותר של Android, לכל הפחות.

  1. כדי לבצע את ה-build הראשוני, צריך לבצע הנפקה:
    m
  2. כדי לאפשר לך להבהב את המכשיר, הפעל את המכשיר למצב אתחול מהיר באמצעות התוכן המתאים שילוב מקשים.
  3. מבטלים את נעילת תוכנת האתחול ומריצים את התמונה החדשה שעברה הידור באמצעות הרכיבים הבאים פקודות.
    fastboot oem unlock
    fastboot flashall
    

מכשיר היעד אמור להיות מוכן כעת ל-libFuzzer fuzzer.

כתיבת fuzzer

כדי להדגים כתיבת fuzzer מקצה לקצה באמצעות libFuzzer ב-Android, משתמשים ב לעקוב אחרי קוד פגיע כמקרה בדיקה. זה עוזר לבדוק את התמונה הפוכה, הכול פועל בצורה תקינה, יש להדגים איך נראים נתוני הקריסה.

זוהי פונקציית הבדיקה.

#include <stdint.h>
#include <stddef.h>
bool FuzzMe(const char *data, size_t dataSize) {
    return dataSize >= 3  &&
           data[0] == 'F' &&
           data[1] == 'U' &&
           data[2] == 'Z' &&
           data[3] == 'Z';  // ← Out of bounds access
}

כדי ליצור ולהריץ את fuzzer לניסיון:

  1. יעד fuzz מורכב משני קבצים: קובץ build וקוד המקור של יעד fuzz. יוצרים את הקבצים במיקום ליד הספרייה שמחדדים את הנתונים. נותנים ל-fuzzer שמתאר את מה שה-fuzzer עושה.
  2. כתבו יעד fuzz באמצעות libFuzzer. יעד ה-fuzz הוא פונקציה לוקח blob של נתונים בגודל שצוין ומעביר אותו לפונקציה מעוות. הנה קטע קוד בסיסי לפונקציית הבדיקה הפגיעה:
    #include <stddef.h>
    #include <stdint.h>
    
    extern "C" int LLVMFuzzerTestOneInput(const char *data, size_t size) {
      // ...
      // Use the data to call the library you are fuzzing.
      // ...
      return FuzzMe(data, size);
    }
    
  3. אומרים למערכת ה-build של Android ליצור את קובץ ה-fuzzer בינארי. כדי לבנות את ה-fuzzer, מוסיפים את הקוד הבא לקובץ Android.bp:
    cc_fuzz {
      name: "fuzz_me_fuzzer",
      srcs: [
        "fuzz_me_fuzzer.cpp",
      ],
      // If the fuzzer has a dependent library, uncomment the following section and
      // include it.
      // static_libs: [
      //   "libfoo", // Dependent library
      // ],
      //
      // The advanced features below allow you to package your corpus and
      // dictionary files during building. You can find more information about
      // these features at:
      //  - Corpus: https://llvm.org/docs/LibFuzzer.html#corpus
      //  - Dictionaries: https://llvm.org/docs/LibFuzzer.html#dictionaries
      // These features are not required for fuzzing, but are highly recommended
      // to gain extra coverage.
      // To include a corpus folder, uncomment the following line.
      // corpus: ["corpus/*"],
      // To include a dictionary, uncomment the following line.
      // dictionary: "fuzz_me_fuzzer.dict",
    }
    
  4. כדי ליצור fuzzer להרצה על היעד (מכשיר):
    SANITIZE_TARGET=hwaddress m fuzz_me_fuzzer
    
  5. כדי ליצור fuzzer להרצה במארח:
    SANITIZE_HOST=address m fuzz_me_fuzzer
    

לנוחיותכם, ניתן להגדיר כמה משתני מעטפת שמכילים את הנתיב אל ה-fuzz. היעד ואת שם הקובץ הבינארי (מקובץ ה-build שכתבת קודם).

export FUZZER_NAME=your_fuzz_target

אחרי ביצוע השלבים האלה, אמור להיות לכם fuzzer מובנה. ברירת המחדל המיקום של ה-fuzzer (לדוגמה, גרסת ה-build של Pixel) הוא:

  • $ANDROID_PRODUCT_OUT/data/fuzz/$TARGET_ARCH/$FUZZER_NAME/$FUZZER_NAME עבור במכשיר.
  • $ANDROID_HOST_OUT/fuzz/$TARGET_ARCH/$FUZZER_NAME/$FUZZER_NAME למארח.
  • הפעלת fuzzer במארח

  • הוספה לקובץ ה-build של Android.bp:
    host_supported: true,
    שימו לב שאפשר להחיל את האפשרות הזו רק אם הספרייה שרוצים להסתיר היא מארחת נתמך.
  • כדי להריץ את fuzzer במארח, פשוט מריצים את הקובץ הבינארי של ה-fuzzer.
    $ANDROID_HOST_OUT/fuzz/x86_64/$FUZZER_NAME/$FUZZER_NAME
  • הרצה של fuzzer במכשיר

    אנחנו רוצים להעתיק את הפריט הזה למכשיר שלך באמצעות adb.

    1. כדי להעלות את הקבצים האלה לספרייה במכשיר, מריצים את הפקודה פקודות:
      adb root
      adb sync data
      
    2. מריצים את fuzzer לבדיקה במכשיר באמצעות הפקודה הבאה:
      adb shell /data/fuzz/$(get_build_var TARGET_ARCH)/$FUZZER_NAME/$FUZZER_NAME \
        /data/fuzz/$(get_build_var TARGET_ARCH)/$FUZZER_NAME/corpus

    כתוצאה מכך, הפלט יהיה דומה לפלט לדוגמה שבהמשך.

    INFO: Seed: 913963180
    INFO: Loaded 2 modules   (16039 inline 8-bit counters): 16033 [0x7041769b88, 0x704176da29), 6 [0x60e00f4df0, 0x60e00f4df6),
    INFO: Loaded 2 PC tables (16039 PCs): 16033 [0x704176da30,0x70417ac440), 6 [0x60e00f4df8,0x60e00f4e58),
    INFO: -max_len is not provided; libFuzzer will not generate inputs larger than 4096 bytes
    INFO: A corpus is not provided, starting from an empty corpus
    #2	INITED cov: 5 ft: 5 corp: 1/1b exec/s: 0 rss: 24Mb
    #10	NEW    cov: 6 ft: 6 corp: 2/4b lim: 4 exec/s: 0 rss: 24Mb L: 3/3 MS: 3 CopyPart-ChangeByte-InsertByte-
    #712	NEW    cov: 7 ft: 7 corp: 3/9b lim: 8 exec/s: 0 rss: 24Mb L: 5/5 MS: 2 InsertByte-InsertByte-
    #744	REDUCE cov: 7 ft: 7 corp: 3/7b lim: 8 exec/s: 0 rss: 25Mb L: 3/3 MS: 2 ShuffleBytes-EraseBytes-
    #990	REDUCE cov: 8 ft: 8 corp: 4/10b lim: 8 exec/s: 0 rss: 25Mb L: 3/3 MS: 1 ChangeByte-
    ==18631==ERROR: HWAddressSanitizer: tag-mismatch on address 0x0041e00b4183 at pc 0x0060e00c5144
    READ of size 1 at 0x0041e00b4183 tags: f8/03 (ptr/mem) in thread T0
        #0 0x60e00c5140  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0xf140)
        #1 0x60e00ca130  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x14130)
        #2 0x60e00c9b8c  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x13b8c)
        #3 0x60e00cb188  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x15188)
        #4 0x60e00cbdec  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x15dec)
        #5 0x60e00d8fbc  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x22fbc)
        #6 0x60e00f0a98  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x3aa98)
        #7 0x7041b75d34  (/data/fuzz/arm64/lib/libc.so+0xa9d34)
    
    [0x0041e00b4180,0x0041e00b41a0) is a small allocated heap chunk; size: 32 offset: 3
    0x0041e00b4183 is located 0 bytes to the right of 3-byte region [0x0041e00b4180,0x0041e00b4183)
    allocated here:
        #0 0x70418392bc  (/data/fuzz/arm64/lib/libclang_rt.hwasan-aarch64-android.so+0x212bc)
        #1 0x60e00ca040  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x14040)
        #2 0x60e00c9b8c  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x13b8c)
        #3 0x60e00cb188  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x15188)
        #4 0x60e00cbdec  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x15dec)
        #5 0x60e00d8fbc  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x22fbc)
        #6 0x60e00f0a98  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x3aa98)
        #7 0x7041b75d34  (/data/fuzz/arm64/lib/libc.so+0xa9d34)
        #8 0x60e00c504c  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0xf04c)
        #9 0x70431aa9c4  (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x519c4)
    
    Thread: T1 0x006700006000 stack: [0x007040c55000,0x007040d4ecc0) sz: 1023168 tls: [0x000000000000,0x000000000000)
    Thread: T0 0x006700002000 stack: [0x007fe51f3000,0x007fe59f3000) sz: 8388608 tls: [0x000000000000,0x000000000000)
    Memory tags around the buggy address (one tag corresponds to 16 bytes):
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
       08  00  cf  08  dc  08  cd  08  b9  08  1a  1a  0b  00  04  3f
    => 27  00  08  00  bd  bd  2d  07 [03] 73  66  66  27  27  20  f6 <=
       5b  5b  87  87  03  00  01  00  4f  04  24  24  03  39  2c  2c
       05  00  04  00  be  be  85  85  04  00  4a  4a  05  05  5f  5f
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
       00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
    Tags for short granules around the buggy address (one tag corresponds to 16 bytes):
       04  ..  ..  cf  ..  dc  ..  cd  ..  b9  ..  ..  3f  ..  57  ..
    => ..  ..  21  ..  ..  ..  ..  2d [f8] ..  ..  ..  ..  ..  ..  .. <=
       ..  ..  ..  ..  9c  ..  e2  ..  ..  4f  ..  ..  99  ..  ..  ..
    See https://clang.llvm.org/docs/HardwareAssistedAddressSanitizerDesign.html#short-granules for a description of short granule tags
    Registers where the failure occurred (pc 0x0060e00c5144):
        x0  f8000041e00b4183  x1  000000000000005a  x2  0000000000000006  x3  000000704176d9c0
        x4  00000060e00f4df6  x5  0000000000000004  x6  0000000000000046  x7  000000000000005a
        x8  00000060e00f4df0  x9  0000006800000000  x10 0000000000000001  x11 00000060e0126a00
        x12 0000000000000001  x13 0000000000000231  x14 0000000000000000  x15 000e81434c909ede
        x16 0000007041838b14  x17 0000000000000003  x18 0000007042b80000  x19 f8000041e00b4180
        x20 0000006800000000  x21 000000000000005a  x22 24000056e00b4000  x23 00000060e00f5200
        x24 00000060e0128c88  x25 00000060e0128c20  x26 00000060e0128000  x27 00000060e0128000
        x28 0000007fe59f16e0  x29 0000007fe59f1400  x30 00000060e00c5144
    SUMMARY: HWAddressSanitizer: tag-mismatch (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0xf140)
    MS: 1 ChangeByte-; base unit: e09f9c158989c56012ccd88111b82f778a816eae
    0x46,0x55,0x5a,
    FUZ
    artifact_prefix='./'; Test unit written to ./crash-0eb8e4ed029b774d80f2b66408203801cb982a60
    Base64: RlVa
    

    בפלט לדוגמה, הקריסה נגרמה על ידי fuzz_me_fuzzer.cpp בשורה 10:

          data[3] == 'Z';  // :(
    

    זו קריאה ברורה מחוץ לתחום אם האורך של data הוא 3.

    לאחר הפעלת fuzzer, הפלט יגרום בדרך כלל לקריסה ולפגיעה נשמר בקורפוס וניתן לו מזהה. בפלט לדוגמה, crash-0eb8e4ed029b774d80f2b66408203801cb982a60

    כדי לאחזר פרטי קריסה במהלך יצירת fuzzing במכשיר, מריצים את הפקודה הבאה, שמציין את מזהה הקריסה:

    adb pull /data/fuzz/arm64/fuzz_me_fuzzer/corpus/CRASH_ID
    שים לב שכדי לשמור מקרי בדיקה בספרייה הנכונה, אפשר להשתמש תיקיית קורפוס (כמו בדוגמה שלמעלה) או שימוש בארגומנט Artifact_prefix (למשל: `-artifact_prefix=/data/fuzz/where/my/crashes/go`).

    בעת fuzzing על מארח, פרטי הקריסה מופיעים בתיקיית הקריסה התיקייה המקומית שבה מריצים את ה-fuzzer.

    יצירת כיסוי של קו

    כיסוי שורות שימושי מאוד למפתחים מכיוון שהם יכולים לזהות אזורים בקוד שאינם מכסים ומעדכנים את הזרועות שלהם בהתאם כדי להגיע לאזורים האלה בהריצות מעורפלות עתידיות.

    1. כדי להפיק דוחות כיסוי ב-fuzzer, מריצים את השלבים הבאים :
      CLANG_COVERAGE=true NATIVE_COVERAGE_PATHS='*' make ${FUZZER_NAME}
      
    2. אחרי שדוחפים את ה-fuzzer ואת יחסי התלות שלו למכשיר, מריצים את יעד ה-fuzz באמצעות LLVM_PROFILE_FILE באופן הזה:
      DEVICE_TRACE_PATH=/data/fuzz/$(get_build_var TARGET_ARCH)/${FUZZER_NAME}/data.profraw
      adb shell LLVM_PROFILE_FILE=${DEVICE_TRACE_PATH} /data/fuzz/$(get_build_var TARGET_ARCH)/${FUZZER_NAME}/${FUZZER_NAME} -runs=1000
      
    3. כדי להפיק את דוח הכיסוי, קודם מושכים את הקובץ מהמכשיר מהמכשיר ואז יוצרים את דוח ה-HTML לתיקייה שנקראת coverageת ב-HTML כמו בדוגמה הבאה:
      adb pull ${DEVICE_TRACE_PATH} data.profraw
      llvm-profdata merge --sparse data.profraw --output data.profdata
      llvm-cov show --format=html --instr-profile=data.profdata \
        symbols/data/fuzz/$(get_build_var TARGET_ARCH)/${FUZZER_NAME}/${FUZZER_NAME} \
        --output-dir=coverage-html --path-equivalence=/proc/self/cwd/,$ANDROID_BUILD_TOP
      

    למידע נוסף על libFuzzer, עיינו במסמכי התיעוד של upstream.