控制流程完整性 (CFI) 是一種安全機制,可禁止修改已編譯二進位檔的原始控制流程圖,大幅降低執行這類攻擊的難度。
在 Android 9 中,我們在更多元件和核心中啟用了 LLVM 的 CFI 實作功能。系統 CFI 預設為開啟,但您需要啟用核心 CFI。
LLVM 的 CFI 需要使用連結時間最佳化 (LTO) 進行編譯。LTO 會保留物件檔案的 LLVM 位元碼表示法,直到連結時間為止,讓編譯器能更妥善地判斷可執行哪些最佳化作業。啟用 LTO 可縮減最終二進位檔的大小並提升效能,但會增加編譯時間。在 Android 上進行測試時,LTO 和 CFI 的組合會對程式碼大小和效能造成微不足道的額外負擔;在少數情況下,兩者都會有所改善。
如要進一步瞭解 CFI 的技術細節,以及如何處理其他前向控制檢查,請參閱 LLVM 設計文件。
實作
kCFI 修補程式已納入所有支援的 Android 核心版本。CONFIG_CFI_CLANG 選項會啟用 kCFI,並預設在 GKI 中設定。
疑難排解
啟用後,請處理可能存在於其驅動程式中的任何類型不相符錯誤。透過不相容的函式指標進行間接函式呼叫會觸發 CFI。偵測到 CFI 失敗時,核心會列印警告,其中包含呼叫的函式和導致失敗的堆疊追蹤。如要修正這個問題,請確保函式指標一律與所呼叫的函式具有相同類型。
如要協助偵錯 CFI 失敗,請啟用 CONFIG_CFI_PERMISSIVE,這樣系統就會顯示警告,而不會導致核心發生恐慌。請勿在正式上線環境中使用寬鬆模式。
驗證
目前沒有專門針對 CFI 進行的 CTS 測試。請改為確保啟用或停用 CFI 時,CTS 測試都能通過,以驗證 CFI 不會影響裝置。