MTE neden gerekli?
Yerel programlama dillerinde bellek kullanımıyla ilgili hatalar olan bellek güvenliğiyle ilgili hatalar, kodla ilgili yaygın sorunlardır. Bu tür uygulamalar, güvenlik açıklarının yanı sıra kararlılık sorunlarına yol açar.
Armv9, yerel kodunuzda boşaltıldıktan sonra kullanım ve arabellek taşması hatalarını yakalamanıza olanak tanıyan bir donanım uzantısı olan Arm Bellek Etiketleme Uzantısı'nı (MTE) kullanıma sundu.
Destek olup olmadığını kontrol edin
Android 13'ten itibaren belirli cihazlarda MTE desteği vardır. Cihazınızın MTE etkinken çalışıp çalışmadığını kontrol etmek için aşağıdaki komutu çalıştırın:
adb shell grep mte /proc/cpuinfo
Sonuç Features : [...] mte ise cihazınız MTE etkinken çalışıyor demektir.
Bazı cihazlar MTE'yi varsayılan olarak etkinleştirmez ancak geliştiricilerin MTE etkinken yeniden başlatmasına izin verir. Bu, cihaz performansını veya kararlılığını düşürebileceğinden normal kullanım için önerilmez ancak uygulama geliştirme için yararlı olabilecek deneysel bir yapılandırmadır. Bu moda erişmek için Ayarlar uygulamanızda Geliştirici Seçenekleri > Bellek Etiketleme Uzantısı'na gidin. Bu seçenek yoksa cihazınız MTE'yi bu şekilde etkinleştirmeyi desteklemiyordur.
MTE desteğine sahip cihazlar
MTE'yi desteklediği bilinen cihazlar:
- Pixel 8 (Shiba)
- Pixel 8 Pro (Husky)
- Pixel 8a (Akita)
- Pixel 9 (Tokay)
- Pixel 9 Pro (Caiman)
- Pixel 9 Pro XL (Komodo)
- Pixel 9 Pro Fold (Comet)
- Pixel 9a (Tegu)
MTE çalışma modları
MTE iki modu destekler: SYNC ve ASYNC. SYNC modu daha iyi teşhis bilgileri sağlar ve bu nedenle geliştirme amaçlarına daha uygundur. ASYNC modu ise yayınlanmış uygulamalarda etkinleştirilmesine olanak tanıyan yüksek performansa sahiptir.
Eşzamanlı mod (SYNC)
Bu mod, performans yerine hata ayıklama için optimize edilmiştir ve daha yüksek performans yükü kabul edilebilir olduğunda hassas bir hata algılama aracı olarak kullanılabilir. MTE SYNC etkinleştirildiğinde güvenlik azaltıcı bir unsur olarak da çalışır.
Etiket uyuşmazlığı olduğunda işlemci, hatalı yükleme veya depolama talimatındaki işlemi SIGSEGV (si_code SEGV_MTESERR ile) ve bellek erişimi ile hata adresi hakkında tam bilgi vererek sonlandırır.
Bu mod, kodunuzu yeniden derlemenizi gerektirmeyen HWASan'a kıyasla daha hızlı bir alternatif olarak test sırasında veya uygulamanız güvenlik açığı olan bir saldırı yüzeyi temsil ettiğinde üretim sırasında kullanışlıdır. Ayrıca, ASYNC modu (aşağıda açıklanmıştır) bir hata bulduğunda, yürütmeyi SYNC moduna geçirmek için çalışma zamanı API'leri kullanılarak doğru bir hata raporu elde edilebilir.
Ayrıca Android ayırıcı, SYNC modunda çalışırken her bir ayırma ve ayırma işleminin yığın izlemesini kaydeder ve bunları, boşaltıldıktan sonra kullanım veya arabellek taşması gibi bir bellek hatasının açıklamasını ve ilgili bellek etkinliklerinin yığın izlemelerini içeren daha iyi hata raporları sağlamak için kullanır (daha fazla bilgi için MTE raporlarını anlama başlıklı makaleyi inceleyin). Bu tür raporlar daha fazla bağlamsal bilgi sağlar ve hataların ASYNC moduna kıyasla daha kolay izlenip düzeltilmesini sağlar.
Eşzamansız mod (ASYNC)
Bu mod, hata raporlarının doğruluğu yerine performans için optimize edilmiştir ve bellek güvenliği hatalarının düşük maliyetli tespiti için kullanılabilir. Etiket uyuşmazlığı olduğunda işlemci, en yakın çekirdek girişine (ör. sistem çağrısı veya zamanlayıcı kesintisi) kadar yürütmeye devam eder. Burada, hatalı adresi veya bellek erişimini kaydetmeden işlemi SIGSEGV (kod SEGV_MTEAERR) ile sonlandırır.
Bu mod, bellek güvenliği hatalarının yoğunluğunun düşük olduğu bilinen, iyi test edilmiş kod tabanlarında üretimde bellek güvenliği açıklarını azaltmak için kullanışlıdır. Bu, test sırasında SYNC modu kullanılarak elde edilir.
MTE'yi etkinleştirme
Tek bir cihaz için
Deneme amacıyla, uygulama uyumluluğu değişiklikleri, manifest dosyasında herhangi bir değer belirtmeyen (veya "default" değerini belirten) bir uygulama için memtagMode özelliğinin varsayılan değerini ayarlamak üzere kullanılabilir.
Bu ayarları, genel ayar menüsündeki Sistem > Gelişmiş > Geliştirici seçenekleri > Uygulama Uyumluluğu Değişiklikleri bölümünde bulabilirsiniz. NATIVE_MEMTAG_ASYNC veya NATIVE_MEMTAG_SYNC ayarını yapmak, belirli bir uygulama için MTE'yi etkinleştirir.
Alternatif olarak, bu ayar am komutu kullanılarak aşağıdaki şekilde de ayarlanabilir:
- SENKRONİZE modu için:
$ adb shell am compat enable NATIVE_MEMTAG_SYNC my.app.name - ASYNC modu için:
$ adb shell am compat enable NATIVE_MEMTAG_ASYNC my.app.name
Gradle'de
Gradle projenizin tüm hata ayıklama derlemeleri için MTE'yi etkinleştirmek istiyorsanız
<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android"
xmlns:tools="http://schemas.android.com/tools">
<application android:memtagMode="sync" tools:replace="android:memtagMode"/>
</manifest>
app/src/debug/AndroidManifest.xml. Bu işlem, hata ayıklama derlemeleri için manifest'inizin memtagMode değerini senkronizasyonla geçersiz kılar.
Alternatif olarak, özel bir buildType'in tüm derlemeleri için MTE'yi etkinleştirebilirsiniz. Bunun için kendi buildType'inizi oluşturun ve XML'i app/src/<name of buildType>/AndroidManifest.xml içine yerleştirin.
Herhangi bir uygun cihazdaki APK için
MTE varsayılan olarak devre dışıdır. MTE kullanmak isteyen uygulamalar, AndroidManifest.xml içinde <application> veya <process> etiketinin altına android:memtagMode ayarlayarak bunu yapabilir.
android:memtagMode=(off|default|sync|async)
<application> etiketinde ayarlandığında özellik, uygulama tarafından kullanılan tüm işlemleri etkiler ve <process> etiketi ayarlanarak tek tek işlemler için geçersiz kılınabilir.
Enstrümantasyonla oluşturma
MTE'yi daha önce açıklandığı şekilde etkinleştirmek, yerel yığıntaki bellek bozulması hatalarının tespit edilmesine yardımcı olur. Yığınta bellek bozulmasını tespit etmek için uygulamada MTE'nin etkinleştirilmesinin yanı sıra kodun enstrümasyonla yeniden oluşturulması gerekir. Elde edilen uygulama yalnızca MTE özellikli cihazlarda çalışır.
Uygulamanızın yerel (JNI) kodunu MTE ile derlemek için şunları yapın:
ndk-build
Application.mk dosyanızda:
APP_CFLAGS := -fsanitize=memtag -fno-omit-frame-pointer -march=armv8-a+memtag
APP_LDFLAGS := -fsanitize=memtag -fsanitize-memtag-mode=sync -march=armv8-a+memtag
CMake
CMakeLists.txt dosyanızdaki her hedef için:
target_compile_options(${TARGET} PUBLIC -fsanitize=memtag -fno-omit-frame-pointer -march=armv8-a+memtag)
target_link_options(${TARGET} PUBLIC -fsanitize=memtag -fsanitize-memtag-mode=sync -march=armv8-a+memtag)
Uygulamanızı çalıştırma
MTE'yi etkinleştirdikten sonra uygulamanızı normal şekilde kullanın ve test edin. Bir bellek güvenliği sorunu tespit edilirse uygulamanız aşağıdakine benzer bir mezar taşıyla birlikte kilitlenir (SENKRONİZASYON için SEGV_MTESERR ile SIGSEGV veya ASYNC için SEGV_MTEAERR'yi not edin):
pid: 13935, tid: 13935, name: sanitizer-statu >>> sanitizer-status <<<
uid: 0
tagged_addr_ctrl: 000000000007fff3
signal 11 (SIGSEGV), code 9 (SEGV_MTESERR), fault addr 0x800007ae92853a0
Cause: [MTE]: Use After Free, 0 bytes into a 32-byte allocation at 0x7ae92853a0
x0 0000007cd94227cc x1 0000007cd94227cc x2 ffffffffffffffd0 x3 0000007fe81919c0
x4 0000007fe8191a10 x5 0000000000000004 x6 0000005400000051 x7 0000008700000021
x8 0800007ae92853a0 x9 0000000000000000 x10 0000007ae9285000 x11 0000000000000030
x12 000000000000000d x13 0000007cd941c858 x14 0000000000000054 x15 0000000000000000
x16 0000007cd940c0c8 x17 0000007cd93a1030 x18 0000007cdcac6000 x19 0000007fe8191c78
x20 0000005800eee5c4 x21 0000007fe8191c90 x22 0000000000000002 x23 0000000000000000
x24 0000000000000000 x25 0000000000000000 x26 0000000000000000 x27 0000000000000000
x28 0000000000000000 x29 0000007fe8191b70
lr 0000005800eee0bc sp 0000007fe8191b60 pc 0000005800eee0c0 pst 0000000060001000
backtrace:
#00 pc 00000000000010c0 /system/bin/sanitizer-status (test_crash_malloc_uaf()+40) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)
#01 pc 00000000000014a4 /system/bin/sanitizer-status (test(void (*)())+132) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)
#02 pc 00000000000019cc /system/bin/sanitizer-status (main+1032) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)
#03 pc 00000000000487d8 /apex/com.android.runtime/lib64/bionic/libc.so (__libc_init+96) (BuildId: 6ab39e35a2fae7efbe9a04e9bbb14331)
deallocated by thread 13935:
#00 pc 000000000004643c /apex/com.android.runtime/lib64/bionic/libc.so (scudo::Allocator<scudo::AndroidConfig, &(scudo_malloc_postinit)>::quarantineOrDeallocateChunk(scudo::Options, void*, scudo::Chunk::UnpackedHeader*, unsigned long)+688) (BuildId: 6ab39e35a2fae7efbe9a04e9bbb14331)
#01 pc 00000000000421e4 /apex/com.android.runtime/lib64/bionic/libc.so (scudo::Allocator<scudo::AndroidConfig, &(scudo_malloc_postinit)>::deallocate(void*, scudo::Chunk::Origin, unsigned long, unsigned long)+212) (BuildId: 6ab39e35a2fae7efbe9a04e9bbb14331)
#02 pc 00000000000010b8 /system/bin/sanitizer-status (test_crash_malloc_uaf()+32) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)
#03 pc 00000000000014a4 /system/bin/sanitizer-status (test(void (*)())+132) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)
allocated by thread 13935:
#00 pc 0000000000042020 /apex/com.android.runtime/lib64/bionic/libc.so (scudo::Allocator<scudo::AndroidConfig, &(scudo_malloc_postinit)>::allocate(unsigned long, scudo::Chunk::Origin, unsigned long, bool)+1300) (BuildId: 6ab39e35a2fae7efbe9a04e9bbb14331)
#01 pc 0000000000042394 /apex/com.android.runtime/lib64/bionic/libc.so (scudo_malloc+36) (BuildId: 6ab39e35a2fae7efbe9a04e9bbb14331)
#02 pc 000000000003cc9c /apex/com.android.runtime/lib64/bionic/libc.so (malloc+36) (BuildId: 6ab39e35a2fae7efbe9a04e9bbb14331)
#03 pc 00000000000010ac /system/bin/sanitizer-status (test_crash_malloc_uaf()+20) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)
#04 pc 00000000000014a4 /system/bin/sanitizer-status (test(void (*)())+132) (BuildId: 953fc93301472d0b72709b2b9a9f6f30)
Learn more about MTE reports: https://source.android.com/docs/security/test/memory-safety/mte-report
Daha fazla bilgi için AOSP dokümanlarında MTE raporlarını anlama başlıklı makaleyi inceleyin. Android Studio ile uygulamanızda hata ayıklama da yapabilirsiniz. Hata ayıklayıcı, geçersiz bellek erişimine neden olan satırda durur.
İleri Düzey Kullanıcılar: Kendi dağıtıcınızda MTE'yi kullanma
Normal sistem ayırıcılar aracılığıyla ayrılmayan bellek için MTE'yi kullanmak istiyorsanız ayırıcınızı belleği ve işaretçileri etiketleyecek şekilde değiştirmeniz gerekir.
Ayıracınızın sayfaları, mmap (veya mprotect) prot işaretinde PROT_MTE kullanılarak ayrılmalıdır.
Etiketler yalnızca 16 baytlık parçalar (granüller olarak da bilinir) için atanabileceğinden, etiketlenmiş tüm tahsislerin 16 baytlık hizalanmaya sahip olması gerekir.
Ardından, bir işaretçi döndürmeden önce IRG talimatlarını kullanarak rastgele bir etiket oluşturmanız ve işaretçide saklamanız gerekir.
Temel belleği etiketlemek için aşağıdaki talimatları uygulayın:
STG: 16 baytlık tek bir granülü etiketleyinST2G: iki 16 baytlık granül etiketleyinDC GVA: Aynı etikete sahip etiket önbelleği satırı
Alternatif olarak, aşağıdaki talimatlar da belleği sıfırlamayı sağlar:
STZG: Tek bir 16 baytlık granülü etiketleyin ve sıfırla başlatınSTZ2G: İki 16 baytlık granülü etiketleyin ve sıfırla başlatınDC GZVA: Önbelleğe alma satırını aynı etiketle etiketleyin ve sıfırlamayı aynı etiketle yapın
Bu talimatların eski CPU'larda desteklenmediğini unutmayın. Bu nedenle, MTE etkinken bunları koşullu olarak çalıştırmanız gerekir. MTE'nin işleminiz için etkin olup olmadığını kontrol edebilirsiniz:
#include <sys/prctl.h>
bool runningWithMte() {
int mode = prctl(PR_GET_TAGGED_ADDR_CTRL, 0, 0, 0, 0);
return mode != -1 && mode & PR_MTE_TCF_MASK;
}
Referans olarak scudo uygulamasını inceleyebilirsiniz.
Daha fazla bilgi
Daha fazla bilgi için Arm tarafından yazılan Android OS için MTE Kullanıcı Kılavuzu'nu inceleyebilirsiniz.