首页
论坛
课程
招聘
雪    币: 3441
活跃值: 活跃值 (90)
能力值: ( LV12,RANK:410 )
在线值:
发帖
回帖
粉丝

[翻译]android11中的系统加固

2020-8-1 21:20 502

[翻译]android11中的系统加固

2020-8-1 21:20
502

在android 11中,我们继续增强了系统安全。现在我们有更安全的默认设置,增加了内存分配的安全性,并使用了编译器级的防御技术用于对抗各种漏洞利用技术。

初始化内存

在android 11中,我们为用户空间和linux内核同时启用了自动内存初始化。内存未初始化漏洞常见于C/C++中,它意味着你使用了一个未经初始化的变量。这种类型的漏洞可能带给你一定的迷惑,甚至“未初始化”这个术语可能会误导你。未初始化暗示着某个变量的值是随机的,然而事实上,它不是随机的,而是上一次操作中设置好的值。在攻击者眼中,这个是可预测的,甚至是可控制的。而且它还可能会导致更好严重的漏洞,如ASLR绕过导致的信息泄露,由栈/堆喷导致的控制流劫持。另一个可能的副作用是在高级别的编译器优化中,可能会使程序行为变得不可预测。在相关的C标准中,这种行为是未定义行为

 

在生产实践中,使用未初始化内存也很难检测。未初始化的内存可能在大多数时候都有一个相对“安全”的值,从而导致错误代码在不为人知的角落里待了好几年。当这种漏洞发生时,要在源代码里找到这样的漏洞是非常困难的,尤其是这个漏洞非常难以触发。

 

消除所有这种漏洞相比于逐个地去解决这种漏洞要更高效一些。自动栈变量初始化依赖于clang编译器的一个功能,它可以自动把栈变量初始化为0或某个特定值。

 

把字符串,索引,指针和大小默认初始化为0是一种更安全的行为。然后对于返回值来说,初始化为0又不那么安全,因为它使得代码中的bug更难暴露出来。而将栈变量初始化为特定值是为了暴露出更多的漏洞,它对于返回值来说会更安全,但对字符串,索引,指针和大小就不那么安全了。

初始化用户空间

自动栈变量初始化会在整个android用户空间中启用。在android 11开发中,我们最初将默认值初始化为特定值,以此把漏洞都暴露出来,在几个月后,我们又将默认值设为0以提高安全性。OS级的开发者可以设置AUTO_PATTERN_INITIALIZE=true m以把漏洞尽可能多地暴露出来。

初始化内核

自动初始化最近已经被合并到linux内核的上游了。现在这些功能已经能用在早期的android内核中,包括4.14,4.195.4。这些功能会强制把局部变量和堆变量初始化为已知的值,从而使得攻击者不能再控制它们,即使泄露了,也无关紧要。虽然这些功能会带来一带性能上的开销,但也使得系统更加稳定和安全。

 

在linux上游,我们使用CONFIG_INIT_STACK_ALL来进行内核栈初始化。它当前依赖于Clang的栈变量特定值初始化,不过它在将来可能会变化。

 

堆初始化由两个启动时标志控制, init_on_alloc 和 init_on_free,前者在堆分配对象空间时初始化内存为0(想想内核中的s/kmalloc/kzalloc),而后者在对象释放之前做同样的事情(它帮助减小了安全敏感数据的生命周期。init_on_alloc是缓存友好的,对性能的影响更小(低于2%),因此,android内核中采用的是它。

Android native层的分配器现在默认是Scudo

在android 11中,Scudo取代了Jemalloc作为android默认的native层分配器。Scudo在内存分配上更安全,它能够检测及减小堆中内存崩溃漏洞造成的影响,如:

Scudo并不能完全预防漏洞利用,但它添加了大量合理性校验(sanity checks),能够有效减少堆中的内存崩溃漏洞。

 

除此之外,通过减少配置模式的可预测性,使用大小分割内存分配,使得内存崩溃漏洞的利用变得更加困难。

 

在我们内部的测试中,已经证明了Scudo能够将先前未检测到的安全和稳定性漏洞暴露出来。

使用GWP-ASan寻找堆内存安全漏洞

Android 11引进了GWP-ASan,一个生产环境中的堆内存安全漏洞检测工具,它被直接整合进native层的内存分配器Scudo中。GWP-ASan能够检测并在堆内存安全漏洞发生时提供报告。在系统进程和系统app中,无论是32位还是64位进程,都默认开启了这个功能。

 

通过在App的AndroidManifest.xml中添加一行可选行,GWP-ASan也可以用于开发者应用。不需要复杂的构建(build)支持或是重编译必要的库文件。

基于标签的软件KASAN

在android中采用Arm内存标签扩展,android 11中包含了对内核HWASAN的支持,也就是基于标签的软件KASAN.从android 10开始就已经支持用户空间的HWASAN了.

 

KernelAddressSANitizer(KASAN)是一个动态内存错误检测器,用于找到linux中的越界和use-after-free漏洞.它使用的基于标签模式的软件是一种软件,它在内核中实现了内存标签的概念,基于标签的软件KASAN在4.14,4.19和5.4的android内核中都可以使用,它可以通过CONFIG_KASAN_SW_TAGS内核配置项启用.当前基于标签的KASAN只支持标记slab内存,将来会支持其他类型的内存(如栈和全局变量)

 

相比于通用型KASAN,基于标签的KASAN在内存需求方面明显更低(参考内核提交以获取更多细节).这使得它能够用在内部试用测试设备上.另一个基于标签的KASAN的用例是检测与当前内核代码中标记内存的兼容性.因为基于标签的KASAN和将来的内核内的MTE支持都是基于相似的概念,那么将来在添加内核内的MTE支持时,内核代码的工作量会更少.

扩展编译器防御

先前的发行版中,我们进一步地扩展了编译器的防御策略.它包括某些核心库的整型和越界检查器.例如,libminikin字体库以及libui渲染库现在都有了越界检查.通过在这些组件中实现整型溢出检查器和越界检查器,我们加固了NFC栈.

 

除了在检查器方面的增强,我们还增加了对CFI漏洞利用的防御.CFI在android的网络守护进程,DNS解析器以及其他的核心javascript库,如libv8和PacProcessor中使用.

软件编解码器沙盒的作用

在先前的android 10中,我们为软件编解码器发布了一个新的沙盒.成果非常可喜.因为自android 5.0中臭名昭著的stagefright漏洞出现以来,android 10是第一个在媒体框架中其漏洞严重级别为0的android版本.

 

原文链接

 

翻译:看雪翻译小组 梦野间
校对:看雪翻译小组 StrokMitream



HWS计划·2020安全精英夏令营来了!我们在华为松山湖欧洲小镇等你

最新回复 (0)
游客
登录 | 注册 方可回帖
返回