Il fuzzing, che fornisce semplicemente dati potenzialmente non validi, imprevisti o casuali come input per un programma, è un modo estremamente efficace per trovare bug in sistemi software di grandi dimensioni ed è una parte importante del ciclo di vita dello sviluppo del software.
Il sistema di compilazione di Android supporta il fuzzing attraverso l'inclusione di libFuzzer dal progetto di infrastruttura del compilatore LLVM. LibFuzzer è collegato alla libreria sotto test e gestisce tutta la selezione dell'input, la mutazione e la segnalazione di arresti anomali che si verificano durante una sessione di fuzzing. Gli disinfettanti di LLVM vengono utilizzati per facilitare il rilevamento della corruzione della memoria e le metriche di copertura del codice.
Questo articolo fornisce un'introduzione a libFuzzer su Android e come eseguire una build strumentata. Include anche istruzioni per scrivere, eseguire e personalizzare i fuzzer.
Configura e costruisci
Per assicurarti di avere un'immagine funzionante in esecuzione su un dispositivo, puoi scaricare un'immagine di fabbrica ed eseguire il flashing del dispositivo. In alternativa, puoi scaricare il codice sorgente AOSP e seguire l'esempio di configurazione e creazione riportato di seguito.
Esempio di installazione
Questo esempio presuppone che il dispositivo di destinazione sia un Pixel ( taimen ) e sia già preparato per il debug USB ( aosp_taimen-userdebug ). Puoi scaricare altri file binari Pixel da Driver Binaries .
mkdir ~/binexport PATH=~/bin:$PATHcurl https://storage.googleapis.com/git-repo-downloads/repo > ~/bin/repochmod a+x ~/bin/reporepo init -u https://android.googlesource.com/platform/manifest -b mainrepo sync -c -j8wget https://dl.google.com/dl/android/aosp/google_devices-taimen-qq1a.191205.008-f4537f93.tgztar xvf google_devices-taimen-qq1a.191205.008-f4537f93.tgz./extract-google_devices-taimen.shwget https://dl.google.com/dl/android/aosp/qcom-taimen-qq1a.191205.008-760afa6e.tgztar xvf qcom-taimen-qq1a.191205.008-760afa6e.tgz./extract-qcom-taimen.sh. build/envsetup.shlunch aosp_taimen-userdebug
Costruisci esempio
Il primo passo per eseguire target fuzz è ottenere una nuova immagine del sistema. Ti consigliamo di utilizzare almeno l'ultima versione di sviluppo di Android.
- Esegui la build iniziale emettendo:
m
- Per consentirti di eseguire il flashing del tuo dispositivo, avvia il dispositivo in modalità fastboot utilizzando la combinazione di tasti appropriata .
- Sblocca il bootloader e esegui il flashing dell'immagine appena compilata con i seguenti comandi.
fastboot oem unlockfastboot flashall
Il dispositivo di destinazione dovrebbe ora essere pronto per il fuzzing di libFuzzer.
Scrivi un fuzzer
Per illustrare la scrittura di un fuzzer end-to-end utilizzando libFuzzer in Android, utilizzare il seguente codice vulnerabile come caso di test. Ciò aiuta a testare il fuzzer, garantire che tutto funzioni correttamente e illustrare come appaiono i dati sugli arresti anomali.
Ecco la funzione di prova.
#include <stdint.h>
#include <stddef.h>
bool FuzzMe(const char *data, size_t dataSize) {
return dataSize >= 3 &&
data[0] == 'F' &&
data[1] == 'U' &&
data[2] == 'Z' &&
data[3] == 'Z'; // ← Out of bounds access
}
Per creare ed eseguire questo fuzzer di test:
- Una destinazione fuzz è composta da due file: un file di build e il codice sorgente della destinazione fuzz. Crea i tuoi file in una posizione accanto alla libreria che stai utilizzando. Assegnare al fuzzer un nome che descriva ciò che fa.
- Scrivi un target fuzz usando libFuzzer. La destinazione fuzz è una funzione che prende un blob di dati di una dimensione specificata e lo passa alla funzione da sottoporre a fuzz. Ecco un fuzzer di base per la funzione di test vulnerabile:
#include <stddef.h> #include <stdint.h> extern "C" int LLVMFuzzerTestOneInput(const char *data, size_t size) { // ... // Use the data to call the library you are fuzzing. // ... return FuzzMe(data, size); } - Di' al sistema di build di Android di creare il file binario fuzzer. Per creare il fuzzer, aggiungi questo codice al file
Android.bp:cc_fuzz { name: "fuzz_me_fuzzer", srcs: [ "fuzz_me_fuzzer.cpp", ], // If the fuzzer has a dependent library, uncomment the following section and // include it. // static_libs: [ // "libfoo", // Dependent library // ], // // The advanced features below allow you to package your corpus and // dictionary files during building. You can find more information about // these features at: // - Corpus: https://llvm.org/docs/LibFuzzer.html#corpus // - Dictionaries: https://llvm.org/docs/LibFuzzer.html#dictionaries // These features are not required for fuzzing, but are highly recommended // to gain extra coverage. // To include a corpus folder, uncomment the following line. // corpus: ["corpus/*"], // To include a dictionary, uncomment the following line. // dictionary: "fuzz_me_fuzzer.dict", } - Per creare il fuzzer per l'esecuzione sul target (dispositivo):
SANITIZE_TARGET=hwaddress m fuzz_me_fuzzer
- Per creare il fuzzer per l'esecuzione sull'host:
SANITIZE_HOST=address m fuzz_me_fuzzer
Per comodità, definisci alcune variabili di shell contenenti il percorso del tuo fuzz target e il nome del file binario (dal file di build che hai scritto in precedenza).
export FUZZER_NAME=your_fuzz_target
Dopo aver seguito questi passaggi, dovresti avere un fuzzer costruito. La posizione predefinita per il fuzzer (per questo esempio di build Pixel) è:
Esegui il tuo fuzzer sull'host
host_supported: true,Tieni presente che questo può essere applicato solo se la libreria che desideri fuzz è supportata dall'host.
$ANDROID_HOST_OUT/fuzz/x86_64/$FUZZER_NAME/$FUZZER_NAME
Esegui il fuzzer sul dispositivo
Vogliamo copiarlo sul tuo dispositivo utilizzando adb .
- Per caricare questi file in una directory sul dispositivo, esegui questi comandi:
adb rootadb sync data - Esegui il test fuzzer sul dispositivo con questo comando:
adb shell /data/fuzz/$(get_build_var TARGET_ARCH)/$FUZZER_NAME/$FUZZER_NAME \ /data/fuzz/$(get_build_var TARGET_ARCH)/$FUZZER_NAME/corpus
Ciò si traduce in un output simile all'output di esempio riportato di seguito.
INFO: Seed: 913963180
INFO: Loaded 2 modules (16039 inline 8-bit counters): 16033 [0x7041769b88, 0x704176da29), 6 [0x60e00f4df0, 0x60e00f4df6),
INFO: Loaded 2 PC tables (16039 PCs): 16033 [0x704176da30,0x70417ac440), 6 [0x60e00f4df8,0x60e00f4e58),
INFO: -max_len is not provided; libFuzzer will not generate inputs larger than 4096 bytes
INFO: A corpus is not provided, starting from an empty corpus
#2 INITED cov: 5 ft: 5 corp: 1/1b exec/s: 0 rss: 24Mb
#10 NEW cov: 6 ft: 6 corp: 2/4b lim: 4 exec/s: 0 rss: 24Mb L: 3/3 MS: 3 CopyPart-ChangeByte-InsertByte-
#712 NEW cov: 7 ft: 7 corp: 3/9b lim: 8 exec/s: 0 rss: 24Mb L: 5/5 MS: 2 InsertByte-InsertByte-
#744 REDUCE cov: 7 ft: 7 corp: 3/7b lim: 8 exec/s: 0 rss: 25Mb L: 3/3 MS: 2 ShuffleBytes-EraseBytes-
#990 REDUCE cov: 8 ft: 8 corp: 4/10b lim: 8 exec/s: 0 rss: 25Mb L: 3/3 MS: 1 ChangeByte-
==18631==ERROR: HWAddressSanitizer: tag-mismatch on address 0x0041e00b4183 at pc 0x0060e00c5144
READ of size 1 at 0x0041e00b4183 tags: f8/03 (ptr/mem) in thread T0
#0 0x60e00c5140 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0xf140)
#1 0x60e00ca130 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x14130)
#2 0x60e00c9b8c (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x13b8c)
#3 0x60e00cb188 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x15188)
#4 0x60e00cbdec (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x15dec)
#5 0x60e00d8fbc (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x22fbc)
#6 0x60e00f0a98 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x3aa98)
#7 0x7041b75d34 (/data/fuzz/arm64/lib/libc.so+0xa9d34)
[0x0041e00b4180,0x0041e00b41a0) is a small allocated heap chunk; size: 32 offset: 3
0x0041e00b4183 is located 0 bytes to the right of 3-byte region [0x0041e00b4180,0x0041e00b4183)
allocated here:
#0 0x70418392bc (/data/fuzz/arm64/lib/libclang_rt.hwasan-aarch64-android.so+0x212bc)
#1 0x60e00ca040 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x14040)
#2 0x60e00c9b8c (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x13b8c)
#3 0x60e00cb188 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x15188)
#4 0x60e00cbdec (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x15dec)
#5 0x60e00d8fbc (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x22fbc)
#6 0x60e00f0a98 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x3aa98)
#7 0x7041b75d34 (/data/fuzz/arm64/lib/libc.so+0xa9d34)
#8 0x60e00c504c (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0xf04c)
#9 0x70431aa9c4 (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0x519c4)
Thread: T1 0x006700006000 stack: [0x007040c55000,0x007040d4ecc0) sz: 1023168 tls: [0x000000000000,0x000000000000)
Thread: T0 0x006700002000 stack: [0x007fe51f3000,0x007fe59f3000) sz: 8388608 tls: [0x000000000000,0x000000000000)
Memory tags around the buggy address (one tag corresponds to 16 bytes):
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
08 00 cf 08 dc 08 cd 08 b9 08 1a 1a 0b 00 04 3f
=> 27 00 08 00 bd bd 2d 07 [03] 73 66 66 27 27 20 f6 <=
5b 5b 87 87 03 00 01 00 4f 04 24 24 03 39 2c 2c
05 00 04 00 be be 85 85 04 00 4a 4a 05 05 5f 5f
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Tags for short granules around the buggy address (one tag corresponds to 16 bytes):
04 .. .. cf .. dc .. cd .. b9 .. .. 3f .. 57 ..
=> .. .. 21 .. .. .. .. 2d [f8] .. .. .. .. .. .. .. <=
.. .. .. .. 9c .. e2 .. .. 4f .. .. 99 .. .. ..
See https://clang.llvm.org/docs/HardwareAssistedAddressSanitizerDesign.html#short-granules for a description of short granule tags
Registers where the failure occurred (pc 0x0060e00c5144):
x0 f8000041e00b4183 x1 000000000000005a x2 0000000000000006 x3 000000704176d9c0
x4 00000060e00f4df6 x5 0000000000000004 x6 0000000000000046 x7 000000000000005a
x8 00000060e00f4df0 x9 0000006800000000 x10 0000000000000001 x11 00000060e0126a00
x12 0000000000000001 x13 0000000000000231 x14 0000000000000000 x15 000e81434c909ede
x16 0000007041838b14 x17 0000000000000003 x18 0000007042b80000 x19 f8000041e00b4180
x20 0000006800000000 x21 000000000000005a x22 24000056e00b4000 x23 00000060e00f5200
x24 00000060e0128c88 x25 00000060e0128c20 x26 00000060e0128000 x27 00000060e0128000
x28 0000007fe59f16e0 x29 0000007fe59f1400 x30 00000060e00c5144
SUMMARY: HWAddressSanitizer: tag-mismatch (/data/fuzz/arm64/example_fuzzer/example_fuzzer+0xf140)
MS: 1 ChangeByte-; base unit: e09f9c158989c56012ccd88111b82f778a816eae
0x46,0x55,0x5a,
FUZ
artifact_prefix='./'; Test unit written to ./crash-0eb8e4ed029b774d80f2b66408203801cb982a60
Base64: RlVa
Nell'output di esempio, l'arresto anomalo è stato causato da fuzz_me_fuzzer.cpp alla riga 10:
data[3] == 'Z'; // :(
Questa è una lettura fuori limite semplice se data hanno lunghezza 3.
Dopo aver eseguito il fuzzer, l'output spesso provoca un arresto anomalo e l'input offensivo viene salvato nel corpus e gli viene assegnato un ID. Nell'output di esempio, questo è crash-0eb8e4ed029b774d80f2b66408203801cb982a60 .
Per recuperare le informazioni sull'arresto anomalo durante il fuzzing sul dispositivo, emetti questo comando, specificando l'ID dell'arresto anomalo:
adb pull /data/fuzz/arm64/fuzz_me_fuzzer/corpus/CRASH_IDTieni presente che per salvare i testcase nella directory corretta, puoi utilizzare la cartella corpus (come nell'esempio sopra) o utilizzare l'argomento artifact_prefix (ad esempio `-artifact_prefix=/data/fuzz/where/my/crashes /vai`).
Durante il fuzzing sull'host, le informazioni sull'arresto anomalo vengono visualizzate nella cartella crash nella cartella locale in cui viene eseguito il fuzzer.
Genera copertura linea
La copertura della linea è molto utile per gli sviluppatori poiché possono individuare le aree del codice che non sono coperte e aggiornare di conseguenza i propri fuzzer per colpire quelle aree nelle future esecuzioni di fuzzing.
- Per generare report di copertura fuzzer, eseguire i seguenti passaggi:
CLANG_COVERAGE=true NATIVE_COVERAGE_PATHS='*' make ${FUZZER_NAME} - Dopo aver inviato il fuzzer e le sue dipendenze al dispositivo, esegui il target fuzz con
LLVM_PROFILE_FILEcome segue:DEVICE_TRACE_PATH=/data/fuzz/$(get_build_var TARGET_ARCH)/${FUZZER_NAME}/data.profrawadb shell LLVM_PROFILE_FILE=${DEVICE_TRACE_PATH} /data/fuzz/$(get_build_var TARGET_ARCH)/${FUZZER_NAME}/${FUZZER_NAME} -runs=1000 - Produci il report di copertura estraendo prima il file profraw dal dispositivo e quindi generando il report html in una cartella chiamata cover-html come mostrato di seguito:
adb pull ${DEVICE_TRACE_PATH} data.profrawllvm-profdata merge --sparse data.profraw --output data.profdatallvm-cov show --format=html --instr-profile=data.profdata \ symbols/data/fuzz/$(get_build_var TARGET_ARCH)/${FUZZER_NAME}/${FUZZER_NAME} \ --output-dir=coverage-html --path-equivalence=/proc/self/cwd/,$ANDROID_BUILD_TOP