GWP-ASan

GWP-ASan to funkcja natywnej alokacji pamięci, która pomaga znajdować błędy use-after-freeheap-buffer-overflow. Jego nieformalna nazwa jest akronimem rekurencyjnym, czyli „GWP-ASan Wzawiść prowido Twojej lokalizacji. W odróżnieniu od HWASan czy Malloc Debug GWP-ASan nie wymaga kompilacji źródłowej ani ponownej kompilacji (czyli działa z kompilowanymi wstępnie bibliotekami) i działa zarówno w procesach 32-, jak i 64-bitowych (chociaż w przypadku awarii w procesach 32-bitowych jest mniej informacji debugujących). W tym temacie opisujemy działania, które musisz wykonać, aby włączyć tę funkcję w swojej aplikacji. Obiekt GWP-ASan jest dostępny w aplikacjach kierowanych na Androida 11 (poziom interfejsu API 30) lub nowszego.

Omówienie

Narzędzie GWP-ASan jest włączone w niektórych losowo wybranych aplikacjach systemowych i plikach wykonywalnych platformy podczas uruchamiania procesu (lub gdy zygote jest rozwidlona). Włącz GWP-ASan w swojej aplikacji, aby wykryć błędy związane z pamięcią i przygotować aplikację do obsługi rozszerzenia ARM Memory Tagging Extension (MTE). Mechanizmy próbkowania alokacji zapewniają też niezawodność w przypadku zapytań śmiercionośnych.

Po włączeniu GWP-ASan przechwytuje losowo wybrany podzbiór alokacji stosu i przenosi je do specjalnego regionu, który wykrywa trudne do wykrycia błędy związane z uszkodzoną pamięcią. Przy wystarczającej liczbie użytkowników nawet tak niska częstotliwość próbkowania znajdzie błędy związane z bezpieczeństwem pamięci sterty, których nie wykryto podczas regularnych testów. Na przykład GWP-ASan znalazł w przeglądarce Chrome znaczną liczbę błędów (wiele z nich jest nadal widocznych w wersji ograniczonej).

GWP-ASan zbiera dodatkowe informacje o wszystkich alokacji, które przechwytuje. Te informacje są dostępne po wykryciu naruszenia bezpieczeństwa pamięci przez GWP-ASan i automatycznie umieszczane w raporcie o awarii natywnej, co może znacznie ułatwić debugowanie (patrz przykład).

GWP-ASan nie obciąża znacząco procesora. GWP-ASan wprowadza niewielki, stały narzut pamięci RAM, gdy ta funkcja jest włączona. Ta nadwyżka jest określana przez system Android i obecnie wynosi około 70 kibibajtów (KiB) na każdy proces, którego dotyczy.

Włącz aplikację

Aplikacje GWP-ASan mogą być włączane przez aplikacje na poziomie poszczególnych procesów za pomocą tagu android:gwpAsanMode w manifeście aplikacji. Obsługiwane są te opcje:

  • Zawsze wyłączona (android:gwpAsanMode="never"): to ustawienie całkowicie wyłącza GWP-ASan w aplikacji i jest domyślne w przypadku aplikacji niesystemowych.

  • Domyślnie (android:gwpAsanMode="default" lub nieokreślone): Android 13 (poziom API 33) i starsze – GWP-ASan jest wyłączony. Android 14 (poziom interfejsu API 34) i nowsze – włączona jest funkcja Recoverable GWP-ASan.

  • Zawsze włączone (android:gwpAsanMode="always"): to ustawienie powoduje włączenie GWP-ASan w Twojej aplikacji, co obejmuje:

    1. System operacyjny rezerwuje stałą ilość pamięci RAM na potrzeby operacji GWP-ASan, około 70 KB na każdy proces, którego dotyczy problem. (Włącz GWP-ASan, jeśli aplikacja nie jest krytycznie wrażliwa na wzrost wykorzystania pamięci).

    2. GWP-ASan przechwytuje losowo wybrany podzbiór alokacji sterty i umieszcza je w specjalnym regionie, który niezawodnie wykrywa naruszenia bezpieczeństwa pamięci.

    3. Gdy w regionie specjalnym wystąpi naruszenie zasad bezpieczeństwa pamięci, GWP-ASan zakończy proces.

    4. GWP-ASan udostępnia dodatkowe informacje o błędzie w raporcie o awarii.

Aby włączyć GWP-ASan globalnie w przypadku aplikacji, dodaj do pliku AndroidManifest.xml następujące informacje:

<application android:gwpAsanMode="always">
  ...
</application>

Dodatkowo GWP-ASan można włączyć lub wyłączyć w przypadku konkretnych podprocesów aplikacji. Możesz kierować działania i usługi za pomocą procesów, które zostały wyraźnie włączone lub wyłączone w GWP-ASan. Oto przykład:

<application>
  <processes>
    <!-- Create the (empty) application process -->
    <process />

    <!-- Create subprocesses with GWP-ASan both explicitly enabled and disabled. -->
    <process android:process=":gwp_asan_enabled"
               android:gwpAsanMode="always" />
    <process android:process=":gwp_asan_disabled"
               android:gwpAsanMode="never" />
  </processes>

  <!-- Target services and activities to be run on either the GWP-ASan enabled or disabled processes. -->
  <activity android:name="android.gwpasan.GwpAsanEnabledActivity"
            android:process=":gwp_asan_enabled" />
  <activity android:name="android.gwpasan.GwpAsanDisabledActivity"
            android:process=":gwp_asan_disabled" />
  <service android:name="android.gwpasan.GwpAsanEnabledService"
           android:process=":gwp_asan_enabled" />
  <service android:name="android.gwpasan.GwpAsanDisabledService"
           android:process=":gwp_asan_disabled" />
</application>

Odzyskiwalny GWP-ASan

Android 14 (poziom interfejsu API 34) i nowsze obsługują kod Recoverable GWP-ASan, który ułatwia programistom znalezienie w produkcji błędów związanych z przepełnieniem bufora na stercie i wykorzystaniem sterty po jej użyciu w produkcji bez pogarszania wygody użytkowników. Jeśli w AndroidManifest.xml nie jest określony parametr android:gwpAsanMode, aplikacja używa funkcji odzyskiwania GWP-ASan.

Odzyskiwalny GWP-ASan różni się od podstawowego GWP-ASan w następujący sposób:

  1. Odzyskiwalny GWP-ASan jest włączony tylko w przypadku około 1% uruchamień aplikacji, a nie wszystkich.
  2. Błąd ten pojawia się w raporcie o awariach (tombstone) w przypadku błędu „używania po sterowaniu” lub „przepełnienia bufora na stercie”. Ten raport o awariach jest dostępny za pomocą interfejsu ActivityManager#getHistoricalProcessExitReasonsAPI, tak jak w przypadku oryginalnego interfejsu GWP-ASan.
  3. Narzędzie Recoverable GWP-ASan nie musi zamykać się po zrzucie raportu o awarii, ponieważ umożliwia uszkodzenie pamięci, a aplikacja nadal działa. Chociaż proces może przebiegać normalnie, zachowanie aplikacji nie jest już określone. Z powodu uszkodzenia pamięci aplikacja może ulec awarii w dowolnym momencie w przyszłości lub działać bez zakłóceń.
  4. Po skopiowaniu raportu o awariach można odzyskać dostęp do narzędzia GWP-ASan. W związku z tym aplikacja może otrzymać tylko 1 możliwy do przywrócenia raport GWP-ASan na uruchomienie aplikacji.
  5. Jeśli w aplikacji jest zainstalowany niestandardowy moduł obsługi sygnału, nigdy nie jest on wywoływany w przypadku sygnału SIGSEGV, który wskazuje na błąd w GWP-ASan, który można naprawić.

Ponieważ awarie GWP-ASan z możliwością odzyskiwania wskazują na rzeczywiste przypadki uszkodzenia pamięci na urządzeniach użytkowników, zdecydowanie zalecamy sklasyfikowanie i naprawianie błędów o wysokim priorytecie, które zostały rozpoznane przez narzędzie Recoverable GWP-ASan.

Pomoc dla programistów

W tych sekcjach opisaliśmy problemy, które mogą wystąpić podczas korzystania z GWP-ASan, oraz sposoby ich rozwiązania.

Brakuje logów alokacji/alokacji

Jeśli diagnozujesz awaria systemową, w której brakuje ramek alokacji i rozdzielania, prawdopodobnie w aplikacji brakuje wskaźników klatek. GWP-ASan używa wskaźników ramek do rejestrowania zrzutów stosu alokacji i transakcji ze względu na wydajność. Nie jest też w stanie rozwinąć zrzutu stosu, jeśli go nie ma.

Wskaźniki klatek są domyślnie włączone na urządzeniach z procesorem ARM64 i wyłączone na urządzeniach z procesorem ARM32. Aplikacje nie mają kontroli nad biblioteką libc, więc zasadniczo GWP-ASan nie może zbierać logów czasu alokacji/dealokacji dla 32-bitowych plików wykonywalnych lub aplikacji. Aplikacje 64-bitowe powinny się upewnić, że nie są one kompilowane za pomocą -fomit-frame-pointer, aby narzędzie GWP-ASan mogło zbierać zrzuty stosu alokacji i alokacji.

Odtwarzanie przypadków naruszenia bezpieczeństwa

Narzędzie GWP-ASan ma wykrywać naruszenia bezpieczeństwa pamięci sterty na urządzeniach użytkowników. GWP-ASan podaje jak najwięcej informacji o awarii (zrzut dostępu do naruszenia, ciąg znaków przyczyny i ślady alokacji/deallokacji), ale wciąż może być trudno wywnioskować, jak doszło do naruszenia. Niestety, ponieważ wykrywanie błędów jest probabilistyczne, raporty GWP-ASan są często trudne do odtworzenia na urządzeniu lokalnym.

W takich przypadkach, jeśli błąd dotyczy urządzeń 64-bitowych, użyj narzędzia HWAddressSanitizer (HWASan). HWASan niezawodnie wykrywa naruszenia bezpieczeństwa pamięci w kodzie stosu, stercie i zmiennych globalnych. Uruchomienie aplikacji z HWASan może niezawodnie odtworzyć ten sam wynik, który jest zgłaszany przez GWP-ASan.

Jeśli uruchomienie aplikacji w HWASan nie wystarczy do znalezienia przyczyny błędu, spróbuj zwiększyć objętość kodu, którego dotyczy problem. Możesz skoncentrować działania związane z fuzzingiem na podstawie informacji z raportu GWP-ASan, który może niezawodnie wykrywać i ujawniać problemy z jakością kodu.

Przykład

Ten przykładowy kod natywny zawiera błąd dotyczący wykorzystania stosu po zwolnieniu:

#include <jni.h>
#include <string>
#include <string_view>

jstring native_get_string(JNIEnv* env) {
   std::string s = "Hellooooooooooooooo ";
   std::string_view sv = s + "World\n";

   // BUG: Use-after-free. `sv` holds a dangling reference to the ephemeral
   // string created by `s + "World\n"`. Accessing the data here is a
   // use-after-free.
   return env->NewStringUTF(sv.data());
}

extern "C" JNIEXPORT jstring JNICALL
Java_android11_test_gwpasan_MainActivity_nativeGetString(
    JNIEnv* env, jobject /* this */) {
  // Repeat the buggy code a few thousand times. GWP-ASan has a small chance
  // of detecting the use-after-free every time it happens. A single user who
  // triggers the use-after-free thousands of times will catch the bug once.
  // Alternatively, if a few thousand users each trigger the bug a single time,
  // you'll also get one report (this is the assumed model).
  jstring return_string;
  for (unsigned i = 0; i < 0x10000; ++i) {
    return_string = native_get_string(env);
  }

  return reinterpret_cast<jstring>(env->NewGlobalRef(return_string));
}

Podczas testowego uruchomienia za pomocą przykładowego kodu powyżej GWP-ASan wykrył nielegalne użycie i wygenerował raport o awarii. GWP-ASan automatycznie wzbogacił raport, podając informacje o typie awarii, metadanych alokacji oraz powiązanych ścieżkach alokacji i dealokwacji.

*** *** *** *** *** *** *** *** *** *** *** *** *** *** *** ***
Build fingerprint: 'google/sargo/sargo:10/RPP3.200320.009/6360804:userdebug/dev-keys'
Revision: 'PVT1.0'
ABI: 'arm64'
Timestamp: 2020-04-06 18:27:08-0700
pid: 16227, tid: 16227, name: 11.test.gwpasan  >>> android11.test.gwpasan <<<
uid: 10238
signal 11 (SIGSEGV), code 2 (SEGV_ACCERR), fault addr 0x736ad4afe0
Cause: [GWP-ASan]: Use After Free on a 32-byte allocation at 0x736ad4afe0

backtrace:
      #00 pc 000000000037a090  /apex/com.android.art/lib64/libart.so (art::(anonymous namespace)::ScopedCheck::CheckNonHeapValue(char, art::(anonymous namespace)::JniValueType)+448)
      #01 pc 0000000000378440  /apex/com.android.art/lib64/libart.so (art::(anonymous namespace)::ScopedCheck::CheckPossibleHeapValue(art::ScopedObjectAccess&, char, art::(anonymous namespace)::JniValueType)+204)
      #02 pc 0000000000377bec  /apex/com.android.art/lib64/libart.so (art::(anonymous namespace)::ScopedCheck::Check(art::ScopedObjectAccess&, bool, char const*, art::(anonymous namespace)::JniValueType*)+612)
      #03 pc 000000000036dcf4  /apex/com.android.art/lib64/libart.so (art::(anonymous namespace)::CheckJNI::NewStringUTF(_JNIEnv*, char const*)+708)
      #04 pc 000000000000eda4  /data/app/android11.test.gwpasan/lib/arm64/libmy-test.so (_JNIEnv::NewStringUTF(char const*)+40)
      #05 pc 000000000000eab8  /data/app/android11.test.gwpasan/lib/arm64/libmy-test.so (native_get_string(_JNIEnv*)+144)
      #06 pc 000000000000edf8  /data/app/android11.test.gwpasan/lib/arm64/libmy-test.so (Java_android11_test_gwpasan_MainActivity_nativeGetString+44)
      ...

deallocated by thread 16227:
      #00 pc 0000000000048970  /apex/com.android.runtime/lib64/bionic/libc.so (gwp_asan::AllocationMetadata::CallSiteInfo::RecordBacktrace(unsigned long (*)(unsigned long*, unsigned long))+80)
      #01 pc 0000000000048f30  /apex/com.android.runtime/lib64/bionic/libc.so (gwp_asan::GuardedPoolAllocator::deallocate(void*)+184)
      #02 pc 000000000000f130  /data/app/android11.test.gwpasan/lib/arm64/libmy-test.so (std::__ndk1::_DeallocateCaller::__do_call(void*)+20)
      ...
      #08 pc 000000000000ed6c  /data/app/android11.test.gwpasan/lib/arm64/libmy-test.so (std::__ndk1::basic_string<char, std::__ndk1::char_traits<char>, std::__ndk1::allocator<char> >::~basic_string()+100)
      #09 pc 000000000000ea90  /data/app/android11.test.gwpasan/lib/arm64/libmy-test.so (native_get_string(_JNIEnv*)+104)
      #10 pc 000000000000edf8  /data/app/android11.test.gwpasan/lib/arm64/libmy-test.so (Java_android11_test_gwpasan_MainActivity_nativeGetString+44)
      ...

allocated by thread 16227:
      #00 pc 0000000000048970  /apex/com.android.runtime/lib64/bionic/libc.so (gwp_asan::AllocationMetadata::CallSiteInfo::RecordBacktrace(unsigned long (*)(unsigned long*, unsigned long))+80)
      #01 pc 0000000000048e4c  /apex/com.android.runtime/lib64/bionic/libc.so (gwp_asan::GuardedPoolAllocator::allocate(unsigned long)+368)
      #02 pc 000000000003b258  /apex/com.android.runtime/lib64/bionic/libc.so (gwp_asan_malloc(unsigned long)+132)
      #03 pc 000000000003bbec  /apex/com.android.runtime/lib64/bionic/libc.so (malloc+76)
      #04 pc 0000000000010414  /data/app/android11.test.gwpasan/lib/arm64/libmy-test.so (operator new(unsigned long)+24)
      ...
      #10 pc 000000000000ea6c  /data/app/android11.test.gwpasan/lib/arm64/libmy-test.so (native_get_string(_JNIEnv*)+68)
      #11 pc 000000000000edf8  /data/app/android11.test.gwpasan/lib/arm64/libmy-test.so (Java_android11_test_gwpasan_MainActivity_nativeGetString+44)
      ...

Więcej informacji

Więcej informacji o implementacji GWP-ASan znajdziesz w dokumentacji LLVM. Więcej informacji o raportach o awariach aplikacji natywnych na Androida znajdziesz w artykule Diagnozowanie awarii aplikacji natywnych.