החל מ-27 במרץ 2025, מומלץ להשתמש ב-android-latest-release במקום ב-aosp-main כדי ליצור תרומות ל-AOSP. מידע נוסף זמין במאמר שינויים ב-AOSP.

דף זה תורגם על ידי Cloud Translation API.

Scudo

Scudo הוא מנהל זיכרון דינמי במצב משתמש, או מנהל ערימת, שנועד להיות עמיד בפני נקודות חולשה שקשורות לערימת זיכרון (כמו overflow של מאגר מבוסס-ערימה, שימוש אחרי שחרור ושחרור כפול) תוך שמירה על הביצועים. הוא מספק את הרכיבים הסטנדרטיים של הקצאה והקצאה (כמו malloc ו-free), וכן את רכיבי C++ (כמו חדש ו-Delete).

Scudo הוא יותר אמצעי לצמצום נזקים מאשר גלאי שגיאות זיכרון מלא כמו AddressSanitizer‏ (ASan).

מאז השקת Android 11, נעשה שימוש ב-scudo לכל הקוד המקורי (חוץ ממכשירים עם נפח זיכרון נמוך, שבהם עדיין נעשה שימוש ב-jemalloc). בזמן הריצה, Scudo מטפל בכל ההקצאות והביטולים של זיכרון אשכול מקומי לכל קובצי ההפעלה והספריות שתלויות בהם, והתהליך מופסק אם מזוהה פגיעה או התנהגות חשודה באשכול.

Scudo הוא קוד פתוח והוא חלק מפרויקט compiler-rt של LLVM. המסמכים זמינים בכתובת https://llvm.org/docs/ScudoHardenedAllocator.html. סביבת זמן הריצה של Scudo מגיעה כחלק מ-Android toolchain, והתמיכה נוספה ל-Soong ו-Make כדי לאפשר הפעלה קלה של המקצה בקובץ בינארי.

אפשר להפעיל או להשבית את הפחתת העומס הנוספת במקצה באמצעות האפשרויות שמתוארות בהמשך.

התאמה אישית

אפשר להגדיר חלק מהפרמטרים של המקצה על בסיס תהליך, בכמה דרכים:

סטטית: מגדירים פונקציית __scudo_default_options בתוכנית שמחזירה את מחרוזת האפשרויות לניתוח. אב הטיפוס של הפונקציה הזו צריך להיות: extern "C" const char *__scudo_default_options().
דינמי: משתמשים במשתנה הסביבה SCUDO_OPTIONS שמכיל את מחרוזת האפשרויות לניתוח. אפשרויות שהוגדרו באופן כזה מבטלות כל הגדרה שנוצרה באמצעות __scudo_default_options.

אלו האפשרויות הזמינות.

אפשרות	ברירת המחדל ל-64 ביט	ברירת מחדל של 32 ביט	תיאור
`QuarantineSizeKb`	`256`	`64`	הגודל (ב-KB) של המרחב לכליאת קבצים שמשמש לעיכוב הפעולה בפועל של ביטול ההקצאה של קטעי קוד. ערך נמוך יותר עשוי לצמצם את השימוש בזיכרון, אבל להפחית את היעילות של הפחתת העומס. ערך שלילי יגרום להפעלת הגדרות ברירת המחדל. הגדרת הערך של השדה הזה ושל השדה `ThreadLocalQuarantineSizeKb` לאפס משביתה את הבידוד לחלוטין.
`QuarantineChunksUpToSize`	`2048`	`512`	הגודל (בבייטים) עד שבו אפשר להעביר קטעי קוד ל-quarantine.
`ThreadLocalQuarantineSizeKb`	`64`	`16`	הגודל (ב-KB) של השימוש במטמון לכל חוט כדי להפחית את העומס בבידוד הגלובלי. ערך נמוך יותר עשוי להפחית את השימוש בזיכרון, אבל עלול להגדיל את המאבק על המרחב המבודד הגלובלי. הגדרה של הערך הזה ושל הערך `QuarantineSizeKb` לאפס משביתה את הבידוד לחלוטין.
`DeallocationTypeMismatch`	`false`	`false`	הפעלת דיווח על שגיאות ב-malloc/delete, ‏ new/free, ‏ new/delete[]
`DeleteSizeMismatch`	`true`	`true`	הפעלת דיווח על שגיאות במקרה של אי-התאמה בין הגדלים של הרשאות ה-new וה-delete.
`ZeroContents`	`false`	`false`	הפעלת תוכן של אפס קטעים במהלך הקצאה וביטול הקצאה.
`allocator_may_return_null`	`false`	`false`	מציין שהמקצה יכול להחזיר null כשמתרחשת שגיאה שניתן לשחזר, במקום לסיים את התהליך.
`hard_rss_limit_mb`	`0`	`0`	כשה-RSS של התהליך מגיע למגבלה הזו, התהליך מסתיים.
`soft_rss_limit_mb`	`0`	`0`	כשה-RSS של התהליך מגיע למגבלה הזו, הקצאות נוספות נכשלות או מחזירות את הערך `null` (בהתאם לערך של `allocator_may_return_null`), עד שה-RSS יורד שוב כדי לאפשר הקצאות חדשות.
`allocator_release_to_os_interval_ms`	`5000`	לא רלוונטי	השפעה רק על מנהל זיכרון בנפח 64 ביט. אם הערך מוגדר, המערכת תנסה לפנות זיכרון לא מנוצל למערכת ההפעלה, אבל לא בתדירות גבוהה יותר מהמרווח הזה (במילי-שניות). אם הערך של המאפיין הוא שלילי, המערכת לא משחררת את הזיכרון למערכת ההפעלה.
`abort_on_error`	`true`	`true`	אם ההגדרה הזו מוגדרת, הכלי יפעיל את `abort()` במקום את `_exit()` אחרי הדפסת הודעת השגיאה.

אימות

בשלב זה אין בדיקות CTS ספציפיות ל-Scudo. במקום זאת, צריך לוודא שבדיקות CTS עוברות עם או בלי הפעלת Scudo בקובץ בינארי נתון, כדי לוודא שהוא לא משפיע על המכשיר.

פתרון בעיות

אם מתגלה בעיה שלא ניתן לשחזר, המקצה מציג הודעת שגיאה למתואר השגיאה הסטנדרטי ולאחר מכן מסיים את התהליך. נתוני מעקב ה-stack שמובילים לסיום הפעילות מתווספים ליומן המערכת. הפלט בדרך כלל מתחיל ב-Scudo ERROR: ואחריו סיכום קצר של הבעיה, יחד עם הנחיות.

ריכזנו כאן רשימה של הודעות השגיאה הנוכחיות והסיבות האפשריות שלהן:

corrupted chunk header: אימות סכום הביקורת של כותרת הקטע נכשל. הסיבה לכך היא אחת משתי אפשרויות: הכותרת נכתבה מחדש (חלקית או באופן מלא), או שהמעצבת שהועברה לפונקציה היא לא מקטע.
race on chunk header: שני שרשורים שונים מנסים לבצע מניפולציה על אותה כותרת בו-זמנית. בדרך כלל, זהו סימן לתנאי מרוץ או לחוסר נעילה כללי בזמן ביצוע פעולות בחלק הזה.
invalid chunk state: הקטע לא במצב הצפוי לפעולה מסוימת. לדוגמה, הוא לא הוקצה כשניסיתם לפנות אותו, או שהוא לא הועבר לבידוד כשניסיתם למחזר אותו. הסיבה העיקרית לשגיאה הזו היא ביטול כפול של משאב.
misaligned pointer: דרישות ההתאמה הבסיסיות נאכפות באופן חזק: 8 בייטים בפלטפורמות של 32 ביט ו-16 בייטים בפלטפורמות של 64 ביט. אם מצביע שהוענק לפונקציות שלנו לא תואם לתנאים האלה, סימן שהצבע שהוענק לאחת מהפונקציות לא מיושר.
allocation type mismatch: כשהאפשרות הזו מופעלת, פונקציית הקצאה מחדש (deallocation) שנקראת על מקטע צריכה להתאים לסוג הפונקציה שנקראת כדי להקצות אותו. אי-התאמה כזו עלולה לגרום לבעיות אבטחה.
invalid sized delete: כשמשתמשים באופרטור המחיקה בגודל C++14 והבדיקה האופציונלית מופעלת, יש אי-התאמה בין הגודל שהוענק כשביטלו את ההקצאה של מקטע הנתונים לבין הגודל שהתבקש כשהקציתם אותו. בדרך כלל זוהי בעיה במהדר או בלבול בסוגים של האובייקט שרוצים לבטל את ההקצאה שלו.
RSS limit exhausted: חרגתם ממספר הפריטים המקסימלי ב-RSS שצוין.

אם אתם מנסים לנפות באגים של קריסה במערכת ההפעלה עצמה, תוכלו להשתמש בגרסת build של HWASan OS. אם אתם מנסים לנפות באגים של קריסה באפליקציה, תוכלו להשתמש גם בגרסת build של אפליקציה ב-HWASan.