Android MTE技术详解

news2024/12/26 1:00:39

1.MTE概念

        MTE(内存标记扩展)是ARM v8.5-A新增的一项缓解内存安全的机制。在Android Linux现有的安全机制中,类似的机制有ASAN、HWSAN。但两者因为性能开销代价昂,不适用于广泛部署(仅调试使用)。MTE当前带来了一种高性能、可扩展的硬件解决方案,可降低以不安全语言编写的代码中可能存在的内存安全违规风险。

注:MTE不仅可用在研发自测、内存问题调试,也可以用于Fuzz。

2.MTE支持条件

ARM解释: v8.5及以上

Qcom平台解释:ARM v9(MSM8450)以上

Android解释:Android对MTE的支持将在2021年/2022年初发布带有MTE的芯片时完成。截至于2023年底,最新的旗舰设备(Pixel、OPPO)开发者选项中已具备MTE功能。

3.MTE的开关

        内核层CONFIG_ARM64_MTE=y时开启,此Kconfig由平台根据环境自行控制,无需工程师手动开关。依赖情况如下:

1687config ARM64_MTE

1688 bool "Memory Tagging Extension support"

1689 default y

1690 depends on ARM64_AS_HAS_MTE && ARM64_TAGGED_ADDR_ABI

1691 depends on AS_HAS_ARMV8_5

1692 # Required for tag checking in the uaccess routines

1693 depends on ARM64_PAN

1694 depends on AS_HAS_LSE_ATOMICS

1695 select ARCH_USES_HIGH_VMA_FLAGS

1696 help

        Google Play中也提供了APP(Sanitizer Test APP[外网,需要科学上网])可用于测试MTE,例如:

4.MTE检测目标

MTE认为内存安全违规主要分2种:空间安全、时间安全。

  • 空间安全:

对象在真实边界之外被访问,例如溢出、越界等。可被利用来改变函数指针、保存寄存器等目标地址。

  • 时间安全:

在对象引用的内存释放、过期后使用。例如UAF等,攻击者可以放置一个新的恶意对象来代替预期目标。

下图是两类内存违规的代码表视图:

5.MTE的检测原理

  • 总体思路

        MTE实现了对内存的锁和密钥的验证关系,通过在指针上增加密钥,在内存中加入锁。在指针访问内存时,密钥与锁进行验证。如果匹配,则允许内存访问;否则访问会被记录、拦截。通过这种方式来检测、捕捉内存安全问题。整体逻辑如下图:

  • 技术实现

        ARM64 架构使用64位指针来寻址内存。其中通常有48~52位被硬件实际使用(如果由开启large-address-space,则是52位)。所以理论上有12-16位是预留的。ARM架构一直有“TOP BYTE IGNORE”高字节忽略的功能,允许软件在虚拟地址的最高字节中存储任意数据,但直到MTE前,这些位依然是没有使用。

        MTE允许在虚拟地址的59-56位(即最上层字节的低4位)存储一个key作为密钥。也会将这个密钥与一个或多个16字节的内存范围关联(单独存储作为“锁”)。当一个指针简介访问此内存区域时,存储在指针中的密钥会与指针引用内存的关联密钥进行校验。

  • 密钥来源

        密钥可以由应用程序管理(keymaster)产生,也可以由CPU随机生成。

6.MTE的实际效果

        以2020年修复libjpeg-trubo库漏洞CVE-2020-13790为例。此漏洞是JPEG图像编解码器,在加载格式错误的img文件时导致的堆缓冲区溢出。以下是MTE开启时,漏洞触发的情景:

可以看到,在漏洞复现时,MTE轻松的捕获到,进程会因为分段错误导致中止。故障的存储会通过logcat打印。从图中可以看到:

  • 奔溃的原因:MTE
  • 崩溃的类型:Buffer Overflow
  • 堆的大小以及溢出的大小:104 bytes right of a 16151-byte
  • 问题地址:pc指针(00000056d2240ddc)
  • 进程id:pid=187,tid=187
  • CPU寄存器信息
  • 堆栈的回溯信息

通过addr2line解析pc指针,可以找到问题出现的地址:

7.MTE的处理措施

        当PROT_MTE(相关特性:页表允许MTE分配标签)已开启,并且检测出异常时,有三种不同的选项:

  • Ignore模式(PR_MTE_TCF_NONE):这是默认模式。CPU和内核将忽略MTE检测错误;如果未设置,也默认此选项。
  • 同步模式(PR_MTE_TCF_SYNC):内核引发SIGSEGV同步,并且引发SEGV_MTESERR和si_code=fauly-address。并且内存访问会被拦截,如果SIGSEGV被阻塞或忽略,则包含的进程将通过coredump中止。
  • 异步模式(PR_MTE_TCF_ASYNC):在一个或多个线程检测错误后内核引发SIGSEGV,并设置SEGV_MTAERR和si_code=0;

8.MTE的性能开销

以上是官方给出的性能开销结论:

同步模式:能够识别精确指令和地址,但对性能开销较大;

异步模式:成本更低,再测试工作负载和基准测试中,性能开销估计为:1%~2%,但异步检测提供是失败信息可能不太准确,但它可以提供一些缓解错误信息并用于分析,以便缩小排查范围

9.上手实效

        据2023年8月,Google Project Zero发布的一篇博文《Fitst handset with MTE on market》呈现,博主在Pixel 8上开启了MTE,正常日常使用中未发现任何异常,也没有感受到性能受到影响。

        作为世界顶级安全团队的Zero,自然也编写了一个具备OOB的Poc进行测试,源码如下:

extern "C" JNIEXPORT jstring JNICALL

Java_com_example_mtetestapplication_MainActivity_stringFromJNI(

        JNIEnv* env,

        jobject /* this */) {

    char* ptr = strdup("test string");

  free(ptr);

  // Use-after-free when ptr is accessed below.

    return env->NewStringUTF(ptr);

}

测试的结果如下(视频请参考原始地址),以下仅为logcat打印,可以明显看到崩溃原因是testapplication程序发生了UAF。

EBUG   : *** *** *** *** *** *** *** *** *** *** *** *** *** *** *** ***

DEBUG   : Build fingerprint: 'google/shiba/shiba:14/UD1A.230803.041/10808477:user/release-keys'

DEBUG   : Revision: 'MP1.0'

DEBUG   : ABI: 'arm64'

DEBUG   : Timestamp: 2023-10-24 16:56:32.092532886+0200

DEBUG   : Process uptime: 2s

DEBUG   : Cmdline: com.example.mtetestapplication

DEBUG   : pid: 24147, tid: 24147, name: testapplication  >>> com.example.mtetestapplication <<<

DEBUG   : uid: 10292

DEBUG   : tagged_addr_ctrl: 000000000007fff3 (PR_TAGGED_ADDR_ENABLE, PR_MTE_TCF_SYNC, mask 0xfffe)

DEBUG   : pac_enabled_keys: 000000000000000f (PR_PAC_APIAKEY, PR_PAC_APIBKEY, PR_PAC_APDAKEY, PR_PAC_APDBKEY)

DEBUG   : signal 11 (SIGSEGV), code 9 (SEGV_MTESERR), fault addr 0x0b000072afa9f790

DEBUG   :     x0  0000000000000001  x1  0000007fe384c2e0  x2  0000000000000075  x3  00000072aae969ac

DEBUG   :     x4  0000007fe384c308  x5  0000000000000004  x6  7274732074736574  x7  00676e6972747320

DEBUG   :     x8  0000000000000020  x9  00000072ab1867e0  x10 000000000000050c  x11 00000072aaed0af4

DEBUG   :     x12 00000072aaed0ca8  x13 31106e3dee7fb177  x14 ffffffffffffffff  x15 00000000ebad6a89

DEBUG   :     x16 0000000000000001  x17 000000722ff047b8  x18 00000075740fe000  x19 0000007fe384c2d0

DEBUG   :     x20 0000007fe384c308  x21 00000072aae969ac  x22 0000007fe384c2e0  x23 070000741fa897b0

DEBUG   :     x24 0b000072afa9f790  x25 00000072aaed0c18  x26 0000000000000001  x27 000000754a5fae40

DEBUG   :     x28 0000007573c00000  x29 0000007fe384c260

DEBUG   :     lr  00000072ab35e7ac  sp  0000007fe384be30  pc  00000072ab1867ec  pst 0000000080001000

DEBUG   : 98 total frames

DEBUG   : backtrace:

DEBUG   :       #00 pc 00000000003867ec  /apex/com.android.art/lib64/libart.so (art::(anonymous namespace)::ScopedCheck::Check(art::ScopedObjectAccess&, bool, char const*, art::(anonymous namespace)::JniValueType*) (.__uniq.99033978352804627313491551960229047428)+1636) (BuildId: a5fcf27f4a71b07dff05c648ad58e3cd)

DEBUG   :       #01 pc 000000000055e7a8  /apex/com.android.art/lib64/libart.so (art::(anonymous namespace)::CheckJNI::NewStringUTF(_JNIEnv*, char const*) (.__uniq.99033978352804627313491551960229047428.llvm.6178811259984417487)+160) (BuildId: a5fcf27f4a71b07dff05c648ad58e3cd)

DEBUG   :       #02 pc 00000000000017dc  /data/app/~~lgGoAt3gB6oojf3IWXi-KQ==/com.example.mtetestapplication-k4Yl4oMx9PEbfuvTEkjqFg==/base.apk!libmtetestapplication.so (offset 0x1000) (_JNIEnv::NewStringUTF(char const*)+36) (BuildId: f60a9970a8a46ff7949a5c8e41d0ece51e47d82c)

...

DEBUG   : Note: multiple potential causes for this crash were detected, listing them in decreasing order of likelihood.

DEBUG   : Cause: [MTE]: Use After Free, 0 bytes into a 12-byte allocation at 0x72afa9f790

DEBUG   : deallocated by thread 24147:

DEBUG   :       #00 pc 000000000005e800  /apex/com.android.runtime/lib64/bionic/libc.so (scudo::Allocator<scudo::AndroidConfig, &(scudo_malloc_postinit)>::quarantineOrDeallocateChunk(scudo::Options, void*, scudo::Chunk::UnpackedHeader*, unsigned long)+496) (BuildId: a017f07431ff6692304a0cae225962fb)

DEBUG   :       #01 pc 0000000000057ba4  /apex/com.android.runtime/lib64/bionic/libc.so (scudo::Allocator<scudo::AndroidConfig, &(scudo_malloc_postinit)>::deallocate(void*, scudo::Chunk::Origin, unsigned long, unsigned long)+212) (BuildId: a017f07431ff6692304a0cae225962fb)

DEBUG   :       #02 pc 000000000000179c  /data/app/~~lgGoAt3gB6oojf3IWXi-KQ==/com.example.mtetestapplication-k4Yl4oMx9PEbfuvTEkjqFg==/base.apk!libmtetestapplication.so (offset 0x1000) (Java_com_example_mtetestapplication_MainActivity_stringFromJNI+40) (BuildId: f60a9970a8a46ff7949a5c8e41d0ece51e47d82c)

  10.结论

        从目前看来,启用MTE在性能、续航上的削弱并不明显,但在安全上的提升十分显著。是这些年来继CFI后最重要的商用安全特性(小编自己评的,如果不准确,请不要喷我)。许多0-click的攻击面都会涉及大量C/C++的安全问题。当前MTE也不是内存安全的最终答案,开启后能够提高安全性,但不意味着安全万无一失,

11.参考资料

参考资料链接
Kernel 5.15.0-rcl MTEhttps://www.kernel.org/doc/html/latest/arm64/memory-tagging-extension.html
Tools and SoftwareTools and Software
ARM Developer MTELWN:Arm64的内存标记扩展功能!-CSDN博客
CSDN LWN:ARM64的内存标记扩展功能https://developer.arm.com/architectures/cpu-architecture/a-profile?&_ga=2.256687755.1292256680.1566735535-2019613222.1563850500#mte
ARM MTE白皮书https://www.wwwbuild.net/androidperf/74222.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1420459.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

springboot131企业oa管理系统

企业OA管理系统 摘要 随着信息技术在管理上越来越深入而广泛的应用&#xff0c;管理信息系统的实施在技术上已逐步成熟。本文介绍了企业OA管理系统的开发全过程。通过分析企业OA管理系统管理的不足&#xff0c;创建了一个计算机管理企业OA管理系统的方案。文章介绍了企业OA管…

定制红酒:为您的爱情、友情、亲情定制专属红酒

红酒&#xff0c;这种充满浪漫与情感的饮品&#xff0c;早已超越了单纯的味觉享受&#xff0c;成为人们表达情感、传递心意的载体。云仓酒庄洒派定制红酒&#xff0c;正是为那些珍视爱情、友情、亲情的人们提供了一种表达情感的新方式。 ① 爱情之酒 当你们即将步入婚姻的礼堂…

美国DDOS服务器:应对攻击的策略与技术

分布式拒绝服务(DDOS)攻击是一种常见的网络攻击手段&#xff0c;旨在通过大量无用的请求拥塞目标服务器&#xff0c;使其无法正常处理合法请求。美国作为全球互联网技术的领先者&#xff0c;其DDOS服务器在应对这类攻击时具有一系列先进的技术和策略。本文将详细介绍美国DDOS服…

浏览器内存泄漏排查指南

1、setTimeout执行原理 使用setInterval/setTimeOut遇到的坑 - 掘金 2、Chrome自带的Performance工具 当我们怀疑页面发生了内存泄漏的时候&#xff0c;可以先用Performance录制一段时间内页面的内存变化。 点击开始录制执行可能引起内存泄漏的操作点击停止录制 如果录制结束…

C# OpenCvSharp DNN Gaze Estimation 视线估计

目录 介绍 效果 模型信息 项目 代码 frmMain.cs GazeEstimation.cs 下载 C# OpenCvSharp DNN Gaze Estimation 介绍 训练源码地址&#xff1a;https://github.com/deepinsight/insightface/tree/master/reconstruction/gaze 效果 模型信息 Inputs ----------------…

利用牛顿方法求解非线性方程(MatLab)

一、算法原理 1. 牛顿方法的算法原理 牛顿方法&#xff08;Newton’s Method&#xff09;&#xff0c;也称为牛顿-拉弗森方法&#xff0c;是一种用于数值求解非线性方程的迭代方法。其基本思想是通过不断迭代来逼近方程的根&#xff0c;具体原理如下&#xff1a; 输入&#…

菜单栏应用管理 -- Bartender 4

Bartender 4是一款旨在优化和简化Mac菜单栏管理的强大工具。它具有以下特色功能&#xff1a; 组织和管理菜单栏图标&#xff1a;Bartender 4允许用户轻松组织和管理菜单栏中的图标&#xff0c;可以隐藏不常用的图标&#xff0c;保持菜单栏的整洁和简洁。同时&#xff0c;用户还…

RAG——应用——七个最常见的故障点

近日&#xff0c;国外研究者发布了一篇论文《Seven Failure Points When Engineering a Retrieval Augmented Generation System》&#xff0c;探讨了在实际工程落地RAG应用过程中容易出的七类问题。 论文地址&#xff1a;https://arxiv.org/pdf/2401.05856.pdf 一、丢失内容&…

MacOS安装反编译工具JD-GUI以及解决无法打开的问题

目录 一.下载地址 二.安装 三.问题 四.解决办法 1.显示包内容 2.找到Contents/MacOS/universalJavaApplicationStub.sh 3.修改sh文件 4.保存后再次打开即可 一.下载地址 Java Decompiler 二.安装 将下载下来的 jd-gui-osx-1.6.6.tar 解压&#xff0c;然后将 JD-GUI.a…

提升工作效率,畅享便捷PDF编辑体验——Adobe Acrobat Pro DC 2023

作为全球领先的PDF编辑软件&#xff0c;Adobe Acrobat Pro DC 2023将为您带来前所未有的PDF编辑体验。无论您是个人用户还是企业用户&#xff0c;Adobe Acrobat Pro DC 2023将成为您提高工作效率、简化工作流程的得力助手。 一、全面编辑功能 Adobe Acrobat Pro DC 2023提供了…

如何写出让用户身临其境的画面感文案?

许多小伙伴在写文案时经常会碰到这样的困境&#xff0c;就是自己写得文案用了大量辞藻但是没有效果。因为在信息爆炸的时代下&#xff0c;用户天生不喜欢抽象的东西&#xff0c;只有具象化的东西才能让人不费脑子&#xff0c;所以我们要尽可能的将文案视觉化&#xff0c;去写有…

分享外贸人的一些趣事

某日晚上突然失眠&#xff0c;然后就莫名地回忆起与一些客户沟通的过往&#xff0c;有时候感觉哭笑不得&#xff0c;有的时候又感觉无可奈何。 于是想总结一下在和客户沟通中的那种小惊喜&#xff0c;小惊讶&#xff0c;小郁闷&#xff0c;以及还有一些小小的感动。 先说一说…

数据防泄密方案公司(dlp数据防泄密厂商排名)

在当今数字化时代&#xff0c;数据已经成为了企业最重要的资产之一。然而&#xff0c;随着企业信息化的不断深入&#xff0c;数据泄露的风险也越来越大。为了保护企业的核心数据&#xff0c;越来越多的企业开始重视数据防泄密工作&#xff0c;并寻求专业的数据防泄密方案提供商…

Python入门到精通(五)——Python数据容器

Python数据容器 前言 一、list 列表 1、定义 2、列表的下标索引 3、常用操作 4、列表的遍历 二、tuple 元组 1、定义 2、常用操作 三、str 字符串 1、定义 2、常用操作 四、容器序列的切片 五、set 集合 1、定义 ​编辑 2、常用操作 六、dict 字典、映射 1、…

数据治理之路读书笔记

数据治理之路 一、数据治理的国际实践 美国——探索构建数据资产化管理体系&#xff08;奥巴马2012《数字政府战略》、2020年《美国国防部数据战略》&#xff09; 欧盟——从数据价值链到单一数据市场&#xff08;2013《欧洲数据价值链战略》、2015《欧洲数字单一市场战略》、…

【Python笔记-设计模式】单例模式

一、说明 单例是一种创建型设计模式&#xff0c;能够保证一个类只有一个实例&#xff0c; 并提供一个访问该实例的全局节点。 (一) 解决问题 维护共享资源&#xff08;数据库或文件&#xff09;的访问权限&#xff0c;避免多个实例覆盖同一变量&#xff0c;引发程序崩溃。 …

STM32入门教程-2023版【5-1】中断执行流程

关注 点赞 不错过精彩内容 大家好&#xff0c;我是硬核王同学&#xff0c;最近在做免费的嵌入式知识分享&#xff0c;帮助对嵌入式感兴趣的同学学习嵌入式、做项目、找工作! 二、中断执行流程 &#xff08;1&#xff09;中断程序的执行流程 左边第一个图中&#xff0c;从上…

【MySQL 流浪之旅】 第六讲 浅谈 MySQL 锁

系列文章目录 【MySQL 流浪之旅】 第一讲 MySQL 安装【MySQL 流浪之旅】 第二讲 MySQL 基础操作【MySQL 流浪之旅】 第三讲 MySQL 基本工具【MySQL 流浪之旅】 第四讲 MySQL 逻辑备份【MySQL 流浪之旅】 第五讲 数据库设计的三个范式 目录 系列文章目录 一、什么是锁&#x…

网络安全|重大失误!微软被盗测试账号拥有公司Office 365管理员权限

微软网络近期遭黑客入侵&#xff0c;高管电子邮件被监视长达两个月。 一位研究员表示&#xff0c;黑客通过获取一个拥有管理员权限的老旧测试帐号的访问权限来实施入侵&#xff0c;这是微软犯下的重大失误。 微软在1月25日&#xff08;上周四&#xff09;发布第二篇公告&…

Android Studio项目——TCP客户端

目录 一、TCP客户端UI 1、UI展示 2、xml代码 二、TCP客户端数据发送 三、TCP客户端数据接收 一、TCP客户端UI 1、UI展示 2、xml代码 <?xml version"1.0" encoding"utf-8"?> <RelativeLayout xmlns:android"http://schemas.android.…