فهم تقارير MTE

إنّ تعطُّل SIGSEGV عند استخدام الرمز 9 (SEGV_MTESERR) أو الرمز 8 (SEGV_MTEAERR) هي أخطاء في وضع العلامات على الذاكرة. إضافة وضع علامات الذاكرة (MTE) هي تتوفّر ميزات Armv9 في نظام التشغيل Android 12 والإصدارات الأحدث. إنّ MTE عبارة عن تنفيذ للأجهزة لعلامات الذاكرة. فهو يوفر حماية دقيقة للذاكرة لاكتشاف وتخفيف حدوث أخطاء أمان الذاكرة.

في C/C++، يمكن للمؤشر الذي يتم إرجاعه من استدعاء mailoc() أو عامل التشغيل new() أو دوال مشابهة يُستخدم فقط للوصول إلى الذاكرة داخل حدود هذا التخصيص، وفقط في حين أن أن يكون التخصيص ساريًا (غير حر أو محذوف). تُستخدم إضافة وضع علامات الذاكرة (MTE) في Android لرصد انتهاكات هذه القاعدة، يشار إليها في تقارير الأعطال باسم "Buffer Overflow"/"Buffer Underflow" أو "الاستخدام بعد الفترة المجانية" المشكلات.

هناك وضعان لـ MTE، هما: الوضع المتزامن (أو "المتزامن") وغير المتزامن (أو "غير المتزامن"). الإصدار السابق يشغّل أكثر بطئًا ولكنه يوفر بيانات تشخيص أكثر دقة. يعمل الأخير بشكل أسرع، لكن يمكنه فقط إعطاء تفاصيل تقريبية. سنتناول كلاً من هذين الأمرين بشكل منفصل، نظرًا لاختلاف بيانات التشخيص اختلافًا طفيفًا.

وضع MTE المتزامن

في وضع ("المزامنة") المتزامن في MTE، يتعطّل SIGSEGV مع الرمز 9 (SEGV_MTESERR).

pid: 13935, tid: 13935, name: sanitizer-statu  >>> sanitizer-status <<<
uid: 0
tagged_addr_ctrl: 000000000007fff3
signal 11 (SIGSEGV), code 9 (SEGV_MTESERR), fault addr 0x800007ae92853a0
Cause: [MTE]: Use After Free, 0 bytes into a 32-byte allocation at 0x7ae92853a0
x0  0000007cd94227cc  x1  0000007cd94227cc  x2  ffffffffffffffd0  x3  0000007fe81919c0
x4  0000007fe8191a10  x5  0000000000000004  x6  0000005400000051  x7  0000008700000021
x8  0800007ae92853a0  x9  0000000000000000  x10 0000007ae9285000  x11 0000000000000030
x12 000000000000000d  x13 0000007cd941c858  x14 0000000000000054  x15 0000000000000000
x16 0000007cd940c0c8  x17 0000007cd93a1030  x18 0000007cdcac6000  x19 0000007fe8191c78
x20 0000005800eee5c4  x21 0000007fe8191c90  x22 0000000000000002  x23 0000000000000000
x24 0000000000000000  x25 0000000000000000  x26 0000000000000000  x27 0000000000000000
x28 0000000000000000  x29 0000007fe8191b70
lr  0000005800eee0bc  sp  0000007fe8191b60  pc  0000005800eee0c0  pst 0000000060001000

backtrace:
      #00 pc 00000000000010c0  /system/bin/sanitizer-status (test_crash_malloc_uaf()+40) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)
      #01 pc 00000000000014a4  /system/bin/sanitizer-status (test(void (*)())+132) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)
      #02 pc 00000000000019cc  /system/bin/sanitizer-status (main+1032) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)
      #03 pc 00000000000487d8  /apex/com.android.runtime/lib64/bionic/libc.so (__libc_init+96) (BuildId: 6ab39e35a2fae7efbe9a04e9bbb14331)

deallocated by thread 13935:
      #00 pc 000000000004643c  /apex/com.android.runtime/lib64/bionic/libc.so (scudo::Allocator<scudo::AndroidConfig, &(scudo_malloc_postinit)>::quarantineOrDeallocateChunk(scudo::Options, void*, scudo::Chunk::UnpackedHeader*, unsigned long)+688) (BuildId: 6ab39e35a2fae7efbe9a04e9bbb14331)
      #01 pc 00000000000421e4  /apex/com.android.runtime/lib64/bionic/libc.so (scudo::Allocator<scudo::AndroidConfig, &(scudo_malloc_postinit)>::deallocate(void*, scudo::Chunk::Origin, unsigned long, unsigned long)+212) (BuildId: 6ab39e35a2fae7efbe9a04e9bbb14331)
      #02 pc 00000000000010b8  /system/bin/sanitizer-status (test_crash_malloc_uaf()+32) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)
      #03 pc 00000000000014a4  /system/bin/sanitizer-status (test(void (*)())+132) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)

allocated by thread 13935:
      #00 pc 0000000000042020  /apex/com.android.runtime/lib64/bionic/libc.so (scudo::Allocator<scudo::AndroidConfig, &(scudo_malloc_postinit)>::allocate(unsigned long, scudo::Chunk::Origin, unsigned long, bool)+1300) (BuildId: 6ab39e35a2fae7efbe9a04e9bbb14331)
      #01 pc 0000000000042394  /apex/com.android.runtime/lib64/bionic/libc.so (scudo_malloc+36) (BuildId: 6ab39e35a2fae7efbe9a04e9bbb14331)
      #02 pc 000000000003cc9c  /apex/com.android.runtime/lib64/bionic/libc.so (malloc+36) (BuildId: 6ab39e35a2fae7efbe9a04e9bbb14331)
      #03 pc 00000000000010ac  /system/bin/sanitizer-status (test_crash_malloc_uaf()+20) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)
      #04 pc 00000000000014a4  /system/bin/sanitizer-status (test(void (*)())+132) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)

تحتوي جميع تقارير أعطال MTE على تفريغ السجل المعتاد والتتبع الخلفي للنقطة التي . "السبب": سيحتوي سطر الخطأ الذي تم اكتشافه من خلال MTE على "[MTE]" كما في المثال أعلاه، إلى جانب مزيد من التفاصيل. وفي هذه الحالة، كان نوع الخطأ المحدد الذي تم اكتشافه هو "الاستخدام بعد الفترة المجانية"، و"0 بايت في تخصيص 32 بايت على 0x7ae92853a0" يخبرنا وحجم التخصيص وعنوانه، والاقتطاع من التخصيص الذي حاولنا الوصول إليه.

تتضمن تقارير أعطال MTE أيضًا تتبعات خلفية إضافية، وليس فقط التقرير من نقطة الاكتشاف.

"الاستخدام بعد الفترة المجانية" هناك أخطاء، إضافة "تم التخصيص حسب" و"التخصيص من قِبل" الخاصة بأداة تفريغ العطل، تعرض عمليات تتبُّع تسلسل استدعاء الدوال البرمجية في وقت إلغاء تخصيص هذه الذكرى (قبل استخدامها) الوقت الذي تم تخصيصه فيه مسبقًا. كما أنها تخبرك بالسلسلة التي تخصيص/إلغاء التخصيص. سلاسل المحادثات الثلاثة وتخصيص سلسلة المحادثات وتخصيص الموقع هي نفسها في هذا المثال البسيط، ولكن في بعض الحالات الأكثر تعقيدًا، بالضرورة، ومعرفة أنها تختلف يمكن أن يكون تلميحًا مهمًا في إيجاد يتعلق بالتزامن.

"تجاوز سعة المخزن المؤقت" و"Buffer Downflow" "المخصصة بواسطة" فقط مسار تسلسل استدعاء الدوال البرمجية، نظرًا لأنه لم يتم تحديد موقعها بعد (أو ستظهر على أنها "الاستخدام بعد الفترة المجانية"):

Cause: [MTE]: Buffer Overflow, 0 bytes right of a 32-byte allocation at 0x7ae92853a0
[...]
backtrace:
[...]
allocated by thread 13949:

لاحظ استخدام كلمة "right" يعني هذا أنّنا نريد معرفة عدد وحدات البايت بعد النهاية. من عملية التوزيع التي حصل عليها الوصول غير الصحيح التدفق السفلي سيقول "يسار"، وعدد من وحدات البايت قبل بدء التخصيص.

أسباب متعدّدة محتملة

في بعض الأحيان، تحتوي تقارير SEGV_MTESERR على السطر التالي:

Note: multiple potential causes for this crash were detected, listing them in decreasing order of likelihood.

يحدث ذلك عندما يكون هناك العديد من العناصر المرشحة الجيدة لمصدر الخطأ، ولا يمكننا تحديد وهو السبب الفعلي. نطبع ما يصل إلى 3 من هذه العناصر المرشحة بترتيب تقريبي من حيث الاحتمال، وترك التحليل للمستخدم.

signal 11 (SIGSEGV), code 9 (SEGV_MTESERR), fault addr 0x400007b43063db5
backtrace:
    [stack...]

Note: multiple potential causes for this crash were detected, listing them in decreasing order of probability.

Cause: [MTE]: Use After Free, 5 bytes into a 10-byte allocation at 0x7b43063db0
deallocated by thread 6663:
    [stack...]
allocated by thread 6663:
    [stack...]

Cause: [MTE]: Use After Free, 5 bytes into a 6-byte allocation at 0x7b43063db0
deallocated by thread 6663:
    [stack...]

allocated by thread 6663:
    [stack...]

في المثال أعلاه، رصدنا عمليتَي توزيع أخيرتَين على عنوان الذاكرة نفسه يمكن أن كانت الهدف المقصود للوصول غير الصالح إلى الذاكرة. يمكن أن يحدث ذلك عند إعادة استخدام التوزيعات. فالذاكرة الخالية - على سبيل المثال، إذا كان لديك تسلسل مثل جديد، مجاني، جديد، مجاني، جديد، مجاني، الوصول إليه. تتمّ طباعة التخصيص الأحدث أولاً.

إرشادات تفصيلية لتحديد السبب

"القضية" للعطل، يجب عرض تخصيص الذاكرة الذي تم اشتقاق المؤشر الذي تم الوصول منه منه في الأصل. لا تتوفّر طريقة للانتقال من مؤشر باستخدام علامة غير متطابقة إلى تخصيص جهاز MTE. لتوضيح عطل SEGV_MTESERR، يحلل Android البيانات التالية:

  • عنوان الخطأ (بما في ذلك علامة المؤشر)
  • قائمة بتخصيصات العناصر الحديثة لأجزاء من الذاكرة باستخدام عمليات تتبُّع تسلسل استدعاء الدوال البرمجية وعلامات الذاكرة
  • عمليات توزيع التخصيص الحالية (المباشرة) القريبة وعلامات الذاكرة الخاصة بها

أي ذاكرة تم توزيعها مؤخرًا في عنوان الخطأ حيث تتطابق علامة الذاكرة مع علامة عنوان الخطأ يمكن أن يتم "الاستخدام بعد الاستفادة منها" بشكل محتمل السبب.

أي ذكرى مباشرة قريبة تتطابق فيها علامة الذاكرة مع علامة عنوان الخطأ هي "Buffer Overflow" محتمل (أو "التدفق المنخفض من التخزين المؤقت").

وتُعتبر التخصيصات الأقرب إلى الخطأ - سواء في الوقت أو في الفضاء - أكثر احتمالاً من تلك التي تكون بعيدة.

بما أنّه غالبًا ما تتم إعادة استخدام الذاكرة التي تم توزيعها، وعدد قيم العلامات المختلفة صغير (أقل من 16)، ليس من غير المألوف العثور على العديد من العناصر المرشّحة المحتملة، ولا تتوفّر طريقة للعثور تلقائيًا على السبب الحقيقي. وهذا هو السبب في أن تقارير MTE تسرد أحيانًا أسبابًا محتملة متعددة.

ويُنصح بأن ينظر مطوّر التطبيقات في الأسباب المحتملة بدءًا من السبب الأكثر احتمالاً. غالبًا ما يكون من السهل فلترة الأسباب غير ذات الصلة استنادًا إلى عمليات تتبُّع تسلسل استدعاء الدوال البرمجية.

الوضع غير المتزامن MTE

في وضع MTE غير المتزامن ("غير المتزامن")، يتعطّل SIGSEGV مع الرمز 8 (SEGV_MTEAERR).

لا تحدث أخطاء SEGV_MTEAERR على الفور عندما يقوم أحد البرامج بالوصول غير الصالح إلى الذاكرة. ويتم رصد المشكلة بعد وقت قصير من الحدث، ويتم إنهاء البرنامج في تلك المرحلة بدلاً من ذلك. عادةً ما تكون هذه النقطة هي استدعاء النظام التالي، ولكنها قد تكون أيضًا مقاطعة مؤقت - باختصار، أي انتقال من مساحة المستخدم إلى النواة.

لا تحتفظ أخطاء SEGV_MTEAERR بعنوان الذاكرة (يتم عرضه دائمًا كـ "-------"). يتوافق تتبُّع الخلفية مع اللحظة التي تم فيها رصد الحالة (أي عند استدعاء النظام التالي أو تبديل السياق الآخر)، وليس وقت تنفيذ الوصول غير الصالح.

وهذا يعني أن الحقل "الرئيسي" عادةً ما يكون التتبع الخلفي في عطل MTE غير المتزامن غير مناسب عادةً. وبالتالي، تكون عمليات تصحيح الأخطاء غير المتزامنة أكثر صعوبة من حالات إخفاق وضع المزامنة. يُفهم منها على أفضل نحو أنّها تُبيّن وجود خطأ ذاكرة في الرمز القريب في سلسلة التعليمات. قد توفر السجلات الموجودة أسفل ملف Tombstone تلميحًا عما حدث بالفعل. بخلاف ذلك، فإن الإجراء الموصى به هو إعادة إنتاج الخطأ في وضع المزامنة واستخدام بيانات التشخيص الأفضل التي يوفرها وضع المزامنة.

مواضيع متقدمة

الخيارات المتقدمة، تعمل ميزة وضع العلامات على الذاكرة من خلال تحديد قيمة عشوائية للعلامة 4 بت (0..15) لكل عملية تخصيص لأجزاء من الذاكرة. يتم تخزين هذه القيمة في منطقة بيانات وصفية خاصة تتوافق مع الذاكرة المخصّصة لأجزاء من الذاكرة. يتم تعيين نفس القيمة للبايت الأكثر أهمية في مؤشر الكومة الذي يتم عرضه من دوال مثل salesoc() أو عامل تشغيل new().

عند تفعيل التحقّق من العلامات أثناء العملية، تقارن وحدة المعالجة المركزية تلقائيًا البايت العلوي بالمؤشر بعلامة الذاكرة لكل عملية وصول إلى الذاكرة. وفي حال عدم تطابق العلامات، تشير وحدة المعالجة المركزية (CPU) إلى خطأ يؤدي إلى تعطُّل.

ونظرًا إلى العدد المحدود من قيم العلامات المحتملة، يعتبر هذا المنهج احتماليًا. أي موقع ذاكرة يجب عدم الوصول إليه باستخدام مؤشر محدد، مثل خارج الحدود أو بعد تحديد موقع العرض ("المؤشر المتدلٍ") - له قيمة علامة مختلفة ويؤدي إلى حدوث عطل. هناك فرصة بنسبة 7% تقريبًا لعدم اكتشاف أي موضع ورود فردي. ونظرًا لتعيين قيم العلامات بشكل عشوائي، هناك فرصة مستقلة بنسبة% 93 تقريبًا لاكتشاف الخطأ في المرة القادمة التي يحدث فيها الخطأ.

يمكن الاطّلاع على قيم العلامات في حقل عنوان الخطأ وكذلك في تفريغ السجلّ، كما هو موضّح أدناه. يمكن استخدام هذا القسم للتحقق من ضبط العلامات بطريقة معقولة، وكذلك لمعرفة عمليات تخصيص الذاكرة القريبة الأخرى التي لها قيمة العلامة نفسها، إذ قد تكون هذه العمليات من أسباب محتملة لحدوث الخطأ غير تلك المذكورة في التقرير. نتوقّع أن تكون هذه الميزة مفيدة بشكل أساسي للأشخاص الذين يعملون على تنفيذ ميزة MTE نفسها أو غيرها من مكوّنات النظام المنخفضة المستوى، بدلاً من المطوّرين.

signal 11 (SIGSEGV), code 9 (SEGV_MTESERR), fault addr 0x0800007ae92853a0
Cause: [MTE]: Use After Free, 0 bytes into a 32-byte allocation at 0x7ae92853a0
    x0  0000007cd94227cc  x1  0000007cd94227cc  x2  ffffffffffffffd0  x3  0000007fe81919c0
    x4  0000007fe8191a10  x5  0000000000000004  x6  0000005400000051  x7  0000008700000021
    x8  0800007ae92853a0  x9  0000000000000000  x10 0000007ae9285000  x11 0000000000000030
    x12 000000000000000d  x13 0000007cd941c858  x14 0000000000000054  x15 0000000000000000
    x16 0000007cd940c0c8  x17 0000007cd93a1030  x18 0000007cdcac6000  x19 0000007fe8191c78
    x20 0000005800eee5c4  x21 0000007fe8191c90  x22 0000000000000002  x23 0000000000000000
    x24 0000000000000000  x25 0000000000000000  x26 0000000000000000  x27 0000000000000000
    x28 0000000000000000  x29 0000007fe8191b70
    lr  0000005800eee0bc  sp  0000007fe8191b60  pc  0000005800eee0c0  pst 0000000060001000

"علامات الذاكرة" الخاصة في تقرير الأعطال الذي يعرض علامات الذاكرة حول عنوان الخطأ. في المثال أدناه، تشير علامة المؤشر "4" لم تتطابق مع علامة الذاكرة "a".

Memory tags around the fault address (0x0400007b43063db5), one tag per 16 bytes:
  0x7b43063500: 0  f  0  2  0  f  0  a  0  7  0  8  0  7  0  e
  0x7b43063600: 0  9  0  8  0  5  0  e  0  f  0  c  0  f  0  4
  0x7b43063700: 0  b  0  c  0  b  0  2  0  1  0  4  0  7  0  8
  0x7b43063800: 0  b  0  c  0  3  0  a  0  3  0  6  0  b  0  a
  0x7b43063900: 0  3  0  4  0  f  0  c  0  3  0  e  0  0  0  c
  0x7b43063a00: 0  3  0  2  0  1  0  8  0  9  0  4  0  3  0  4
  0x7b43063b00: 0  5  0  2  0  5  0  a  0  d  0  6  0  d  0  2
  0x7b43063c00: 0  3  0  e  0  f  0  a  0  0  0  0  0  0  0  4
=>0x7b43063d00: 0  0  0  a  0  0  0  e  0  d  0 [a] 0  f  0  e
  0x7b43063e00: 0  7  0  c  0  9  0  a  0  d  0  2  0  0  0  c
  0x7b43063f00: 0  0  0  6  0  b  0  8  0  3  0  0  0  5  0  e
  0x7b43064000: 0  d  0  2  0  7  0  a  0  7  0  a  0  d  0  8
  0x7b43064100: 0  b  0  2  0  b  0  4  0  1  0  6  0  d  0  4
  0x7b43064200: 0  1  0  6  0  f  0  2  0  f  0  6  0  5  0  c
  0x7b43064300: 0  1  0  4  0  d  0  6  0  f  0  e  0  1  0  8
  0x7b43064400: 0  f  0  4  0  3  0  2  0  1  0  2  0  5  0  6

تعرض أقسام علامة التبويب هذه التي تُظهر محتوى الذاكرة حول جميع قيم السجلّ قيم علاماتها أيضًا.

memory near x10 ([anon:scudo:primary]):
0000007b4304a000 7e82000000008101 000003e9ce8b53a0  .......~.S......
0700007b4304a010 0000200000006001 0000000000000000  .`... ..........
0000007b4304a020 7c03000000010101 000003e97c61071e  .......|..a|....
0200007b4304a030 0c00007b4304a270 0000007ddc4fedf8  p..C{.....O.}...
0000007b4304a040 84e6000000008101 000003e906f7a9da  ................
0300007b4304a050 ffffffff00000042 0000000000000000  B...............
0000007b4304a060 8667000000010101 000003e9ea858f9e  ......g.........
0400007b4304a070 0000000100000001 0000000200000002  ................
0000007b4304a080 f5f8000000010101 000003e98a13108b  ................
0300007b4304a090 0000007dd327c420 0600007b4304a2b0   .'.}......C{...
0000007b4304a0a0 88ca000000010101 000003e93e5e5ac5  .........Z^>....
0a00007b4304a0b0 0000007dcc4bc500 0300007b7304cb10  ..K.}......s{...
0000007b4304a0c0 0f9c000000010101 000003e9e1602280  ........."`.....
0900007b4304a0d0 0000007dd327c780 0700007b7304e2d0  ..'.}......s{...
0000007b4304a0e0 0d1d000000008101 000003e906083603  .........6......
0a00007b4304a0f0 0000007dd327c3b8 0000000000000000  ..'.}...........