AIDL 模糊测试

模糊测试工具通过生成的桩来导入或调用远程服务,从而充当远程服务的客户端:

使用 C++ API:

#include <fuzzbinder/libbinder_ndk_driver.h>
#include <fuzzer/FuzzedDataProvider.h>

#include <android-base/logging.h>
#include <android/binder_interface_utils.h>

using android::fuzzService;
using ndk::SharedRefBase;

extern "C" int LLVMFuzzerTestOneInput(const uint8_t* data, size_t size) {
    auto binder = ndk::SharedRefBase::make<MyService>(...);

    fuzzService(binder->asBinder().get(), FuzzedDataProvider(data, size));

    return 0;
}

使用 Rust API:

#![allow(missing_docs)]
#![no_main]
#[macro_use]
extern crate libfuzzer_sys;

use binder::{self, BinderFeatures, Interface};
use binder_random_parcel_rs::fuzz_service;

fuzz_target!(|data: &[u8]| {
    let service = BnTestService::new_binder(MyService, BinderFeatures::default());
    fuzz_service(&mut service.as_binder(), data);
});

AIDL 服务模糊测试框架

如上例所示,系统会在模糊测试工具中调用 fuzzService,后者会接受 IBinder (Service) 和 dataProvider 作为输入参数。它会先使用数据提供程序来初始化一个随机 Parcel 对象,然后通过使用输入 Parcel 对远程服务调用事务方法,最后将回复传入回复 Parcel。

构建和运行模糊测试工具

默认情况下,基于覆盖率来构建模糊测试工具。

建议使用以下排错程序来发现内存问题。hwaddress 排错程序仅在 arm 架构上运行:

SANITIZE_HOST=address SANITIZE_TARGET=hwaddress

libFuzzer 一起运行时,语料库(即目录)可能会在 Android.bp 文件中指定,并且您可将此目录传递给模糊测试工具。一些模糊测试工具还会在其 Android.bp 文件中指定 dictionary:,您可以使用 -dict path/to/dict 将其传递给 libFuzzer。如需了解更多选项,请参阅官方 libFuzzer 文档

如需在设备上运行模糊测试工具,请运行 adb sync data,然后运行 adb shell data/fuzz/arch/name/name。如需在主机上运行模糊测试工具,请运行 $ANDROID_HOST_OUT/fuzz/arch/name/name

构建系统会检查是否每项 AOSP Binder 服务在服务模糊测试工具绑定中都有对应的模糊测试工具条目。模糊测试工具绑定测试会检查 service_contexts 中的每个服务是否都有模糊测试工具。如果找不到新服务对应的模糊测试工具或异常,则表示存在构建错误。

可以通过添加以下代码来编写自动 C++ 服务模糊测试工具(尚不支持 Java 和 Rust 模糊测试工具):

  • Android.bp 中的 cc_fuzz 条目,它用于定义模糊测试工具模块。cc_default 模块 service_fuzzer_defaults 具有 fuzzService 所需的依赖项。
  • 服务专用依赖项应添加为库或源代码。
  • 用于构造服务并调用 fuzzService 的主文件

如需详细了解如何使用 cc_fuzz,请参阅通过 libFuzzer 进行模糊测试文档。如需解决构建错误,请使用新的服务和模糊测试工具名称更新绑定。对于 Java 或 Rust 服务,模糊测试工具列表可以为空。