Scudo è un allocatore di memoria dinamico in modalità utente o allocatore di heap, progettato per essere resiliente alle vulnerabilità correlate all'heap (come overflow del buffer basato sull'heap, uso dopo il rilascio e doppio rilascio) mantenendo le prestazioni. Fornisce le primitive di allocazione e deallocazione C standard (ad esempio malloc e free), nonché le primitive C++ (ad esempio new ed delete).
Scudo è più una misura di mitigazione che un rilevatore di errori di memoria completo come AddressSanitizer (ASan).
Dalla release di Android 11, scudo viene utilizzato per tutto il codice nativo (tranne sui dispositivi con poca memoria, dove viene ancora utilizzato jemalloc). In fase di esecuzione, tutte le allocazioni e le dealocation dell'heap nativo vengono gestite da Scudo per tutti gli eseguibili e le relative dipendenze della libreria e il processo viene interrotto se viene rilevata una corruzione o un comportamento sospetto nell'heap.
Scudo è open source e fa parte del progetto compiler-rt di LLVM. La documentazione è disponibile all'indirizzo https://llvm.org/docs/ScudoHardenedAllocator.html. Il runtime Scudo viene fornito come parte della toolchain di Android e il supporto è stato aggiunto a Soong e Make per consentire l'attivazione facile dell'allocatore in un file binario.
Puoi attivare o disattivare ulteriori mitigazioni all'interno dell'allocatore utilizzando le opzioni descritte di seguito.
Personalizzazione
Alcuni parametri dell'allocatore possono essere definiti in base al processo in diversi modi:
- In modo statico:definisci una funzione
__scudo_default_optionsnel programma che restituisce la stringa di opzioni da analizzare. Questa funzione deve avere il seguente prototipo:extern "C" const char *__scudo_default_options(). - In modo dinamico: utilizza la variabile di ambiente
SCUDO_OPTIONScontenente la stringa di opzioni da analizzare. Le opzioni definite in questo modo sovrascrivono qualsiasi definizione effettuata tramite__scudo_default_options.
Sono disponibili le seguenti opzioni.
| Opzione | Valore predefinito a 64 bit | Valore predefinito a 32 bit | Descrizione |
|---|---|---|---|
QuarantineSizeKb |
256 |
64 |
Le dimensioni (in KB) della quarantena utilizzata per ritardare la deallocazione effettiva dei chunk. Un valore inferiore può ridurre l'utilizzo della memoria, ma diminuire l'efficacia del mitigatore. Un valore negativo restituisce i valori predefiniti. Impostare su zero sia questo valore sia ThreadLocalQuarantineSizeKb disattiva completamente la quarantena. |
QuarantineChunksUpToSize |
2048 |
512 |
Le dimensioni (in byte) fino a cui è possibile mettere in quarantena i chunk. |
ThreadLocalQuarantineSizeKb |
64 |
16 |
Le dimensioni (in KB) della cache per thread utilizzata per scaricare la quarantena globale.
Un valore inferiore potrebbe ridurre l'utilizzo della memoria, ma potrebbe aumentare le contese sulla quarantena globale. Impostare su zero sia questo valore sia QuarantineSizeKb
disattiva completamente la quarantena. |
DeallocationTypeMismatch |
false |
false |
Attiva la segnalazione degli errori su malloc/delete, new/free, new/delete[] |
DeleteSizeMismatch |
true |
true |
Attiva la generazione di report sugli errori relativi alla mancata corrispondenza tra le dimensioni di new e delete. |
ZeroContents |
false |
false |
Consente di attivare i contenuti dei chunk zero durante l'allocazione e la disallocazione. |
allocator_may_return_null |
false |
false |
Specifica che l'allocatore può restituire null quando si verifica un errore recuperabile, anziché terminare il processo. |
hard_rss_limit_mb |
0 |
0 |
Quando l'RSS del processo raggiunge questo limite, il processo viene interrotto. |
soft_rss_limit_mb |
0 |
0 |
Quando l'RSS del processo raggiunge questo limite, le ulteriori allocazioni non vanno a buon fine o
resistono null (a seconda del valore di allocator_may_return_null), finché
l'RSS non si riduce per consentire nuove allocazioni. |
allocator_release_to_os_interval_ms |
5000 |
N/D | Riguarda solo un allocatore a 64 bit. Se impostato, tenta di rilasciare la memoria inutilizzata al sistema operativo, ma non più spesso di questo intervallo (in millisecondi). Se il valore è negativo, la memoria non viene rilasciata al sistema operativo. |
abort_on_error |
true |
true |
Se impostato, lo strumento chiama abort() anziché _exit()
dopo aver stampato il messaggio di errore. |
Convalida
Al momento non sono disponibili test CTS specifici per Scudo. Assicurati invece che i test CTS vengano superati con o senza Scudo abilitato per un determinato file binario per verificare che non influisca sul dispositivo.
Risoluzione dei problemi
Se viene rilevato un problema non recuperabile, l'allocatore visualizza un messaggio di errore nel descrittore di errore standard e termina il processo.
Le tracce dello stack che portano all'interruzione vengono aggiunte al log di sistema.
L'output di solito inizia con Scudo ERROR:, seguito da un breve riepilogo del problema e da eventuali suggerimenti.
Di seguito è riportato un elenco dei messaggi di errore attuali e delle relative potenziali cause:
corrupted chunk header: la verifica della checksum dell'intestazione del frammento non è riuscita. Ciò è probabilmente dovuto a una delle due cose: l'intestazione è stata sovrascritta (parzialmente o totalmente) o il puntatore passato alla funzione non è un chunk.race on chunk header: due thread diversi stanno tentando di manipulare la stessa intestazione contemporaneamente. In genere, si tratta di un sintomo di una condizione di gara o di una mancanza generale di blocco durante l'esecuzione di operazioni su quel blocco.invalid chunk state: il chunk non è nello stato previsto per una determinata operazione, ad esempio non è allocato quando si tenta di liberarlo o non è messo in quarantena quando si tenta di riciclarlo. Un doppio scambio è la causa tipica di questo errore.misaligned pointer: i requisiti di allineamento di base sono fortemente applicati: 8 byte su piattaforme a 32 bit e 16 byte su piattaforme a 64 bit. Se un puntatore passato alle nostre funzioni non è adatto, il puntatore passato a una delle funzioni non è allineato.allocation type mismatch: quando questa opzione è attivata, una funzione di deallocazione chiamata su un chunk deve corrispondere al tipo di funzione chiamata per allocarlo. Questo tipo di mancata corrispondenza può comportare problemi di sicurezza.invalid sized delete: quando viene utilizzato l'operatore di eliminazione con dimensioni C++14 e il controllo facoltativo è abilitato, non c'è corrispondenza tra le dimensioni che sono state passate durante la deallocazione di uno chunk e quelle richieste durante l'allocazione. Di solito si tratta di un problema del compilatore o di una confusione di tipo sull'oggetto da deallocare.RSS limit exhausted: il numero massimo di RSS specificato facoltativamente è stato superato.
Se stai eseguendo il debug di un arresto anomalo nel sistema operativo stesso, puoi utilizzare una build del sistema operativo HWASan. Se stai debugging un arresto anomalo in un'app, puoi anche utilizzare una build dell'app HWASan.