[译] Android 内核控制流完整性

于 2024-04-05 16:09:18 发布
阅读量286 收藏 3
点赞数 4
分类专栏: 程序员 文章标签: android mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79985012/article/details/137402695
版权
本文介绍了在Linux内核中实现CFI(Control Flow Integrity)以增强安全性,特别是针对Android设备。通过LLVM的CFI实现,防止了间接分支跳转到恶意代码。文章详细讨论了内核模块的挑战、性能影响以及如何为Android设备启用CFI。同时,文中提到了CFI故障的调试方法,如使用KASAN。最后,鼓励新发布的Android arm64设备启用内核CFI来提升安全防护。
摘要由CSDN通过智能技术生成

LDFLAGS += -plugin-opt=-inline-threshold=0
-plugin-opt=-unroll-threshold=0

注意,禁用单个优化的标志不是稳定 LLVM 接口的一部分,在将来的编译器版本中可能会更改。

在 Linux 内核中实现 CFI

LLVM 的 CFI 实现在每个间接分支之前添加一个检查,以确认目标地址指向一个拥有有效签名的函数。这可以防止一个间接分支跳转到任意代码位置,甚至限制可以调用的函数。由于 C 编译器没有对间接分支强制执行类似限制,函数类型声明不匹配导致了几个 CFI 违规,即使在我们在内核的 CFI 补丁集中解决的内核 4.94.14 中也是如此。

内核模块为 CFI 添加了另一个复杂功能,因为它们在运行时加载,并且可以独立于内核的其它部分进行编译。为了支持可加载模块,我们在内核中实现了 LLVM 的 cross-DSO CFI 支持,包括用来加速跨模块查找的 CFI 影子。在使用 cross-DSO 支持进行编译时,每个内核模块都会包含有关有效本地分支目标的信息,内核根据目标地址和模块的内存布局从正确的模块中查找信息。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

](https://user-gold-cdn.xitu.io/2018/12/17/167bad5fd0ab06a0?w=1600&h=697&f=png&s=215332)

图 3. 注入 arm64 内核的 cross-DSO CFI 检查示例。类型信息在 X0 中传递,目标地址在 X1 中验证。

CFI 检查会给间接分支增加一些开销,但由于更积极的优化,我们的测试表明影响很小,在很多情况下整体系统性能甚至提高了 1-2%。

为 Android 设备启用内核 CFI

arm64 中的 CFI 需要 clang 版本 >= 5.0 并且 binutils >= 2.27。内核构建系统还假定 LLVMgold.so

最低0.47元/天 解锁文章
2301_79985012
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android 内核控制流完整性
Android062002的博客
08-24 1196
Android 内核控制流完整性Android 安全研究工程师 Sami Tolvanen 发布 Android 的安全模型由 Linux 内核强制执行,这将诱使攻击者将其视为攻击目标。我们在已发布的 Android 版本和 Android 9 上为加强内核投入了大量精力,我们将继续这项工作,通过将关注点放在基于编器的安全缓解措施上以防止代码重用攻击。 Google 的 Pixel 3 将是第一款在内核中实施 LLVM 前端控制流完整性CFI)的设备,我们已经实现了 Android 内核版本 4.
Android-版本说明-安全隐私-9.0
深度安全实验室
02-06 1052
Android 9 版本说明 | Android 开源项目 | Android Open Source Project https://source.android.com/setup/start/p-release-notes#security_features 安全功能 应用签名 v3 APK 签名方案支持 APK 密钥轮换。 生物识别支持 Android 9 包含公共类BiometricPrompt,应用可以使用该类采用与设备和模态无关的方式集成生物识别身份验证支持。如需详...
CFI in Android Kernel Security ppt略读 - 来自Linux Security Summit USA2018
think_ycx的专栏
08-29 5539
目录 一、Android内核漏洞概览 访问控制 seccomp sandboxing 不需要权限在userland就可以被触发的bug 不从userland也可以被触发的bug 内存安全对所有的内核漏洞进行分类 二、CFI(Control Flow Integrity) 记录一下早上(20180828)看的这个ppt,免得白看了。ppt来自Linux Security Summit...
分歧还是共存?详解Android内核安全
热门推荐
Rethinking the Kernel
08-08 1万+
现如今,世界上越来越多的智能终端包括手机、TV、SmartBox和IoT、汽车、多媒体设备等等,均深度使用Android系统,而Android的底层正是Linux内核,这也让Linux内核的安全性对Android产生重大影响,随着Android的演进,Android内核在集成Linux内核主线版本的优势下,再发展适合自身生态的内核安全方案,在庞大数量设备的基础上,既是挑战,也是机遇,期待Android能给出完美的答案。...
Android - 集成三方模组原厂WiFi Hal库问题
最新发布
To be or not to be, it's a question
07-22 1224
最近Android 11产品平台上需要集成三方WiFi/AP模组厂商提供的hal静态库时遇到一个问题:将三方的库代码集成进系统,并正确配置、编出lib_driver_cmd_xxx.a(xxx一般是厂商的名字缩写,仅仅是个后缀用于区分不同厂家),根据Android的现有集成架构,这个lib_driver_cmd_xxx.a会被wpa_supplicant/hostapd等工具引用。用来指定CFI特性所需要的头文件的路径,以便编器能够正确地识别和使用CFI相关的库和函数。对于 Arm64 设备上位于。
Android内核打补丁过程和期末报告文档模板1
08-04
Android内核打补丁过程】 在Android操作系统中,内核是核心部分,负责管理硬件资源和提供系统服务。为了修复安全漏洞、优化性能或添加新功能,内核需要定期更新和打补丁。Android内核打补丁的过程通常包括以下几...
动态度量 linux,扩展Linux完整性度量IMA/EVM到Android
weixin_39926540的博客
05-13 1179
1.完整性度量概述运行时的系统完整性由系统的访问控制机制保证,如DAC(Discrete Access Control, 间接访问控制)/MAC(Mandatory Access Control, 强制访问控制,如SELinux, Smack)。DAC/MAC无法检测文件的离线修改;加密文件系统可以保护非法访问,但开销大,效率相对较低。完整性度量,将文件内容和文件的属性/扩展属性,通过加密哈希生...
巫女内核免费版7.1
11-26
这四种调度器可能是CFS(Completely Fair Scheduler)、Ondemand、Powersave、Interactive等常见的Android内核调度策略,每种调度器有其特定的性能和节能特性,用户可以根据个人需求选择合适的调度模式。 描述中还...
clang --help编选项 中文说明
春江花月夜
08-05 3099
OVERVIEW: clang LLVM compiler -B-CC--config \-C-c-dD-dependency-dot -dependency-file -dI-dM-D \=\-emit-ast-emit-llvm-E ) USAGE: clang [options] OPTIONS: -B \<dir\> Add \<dir> to search path for binaries and object files used implicitly 添加到隐
CFI/CFG 安全防护原理详解
pwl999的博客
12-18 9143
文章目录1. 简介1.1 控制流攻击历史1.2 CFI的基本概念1.3 CFI发展历史2. Orig CFI2.1 Windows CFG的实现3. CCFIR4. VTV5. Kernel CFI5.1 forward-edge protection CFI(Control-Flow Integrity)5.2 backward-edge protection SCS(Shadow Call Stack)5.3 Shared library support(Cross-DSO)6. 利用硬件来提升CF
CFI接口简
huikai309的博客
08-29 2556
1 CFI接口简介   NOR Flash是一种非易失闪存技术。NOR Flash根据外部接口,可分为普通接口和SPI接口。普通接口的NOR Flash,多数支持CFI接口,所以,一般也叫做CFI接口。CFI接口,相对于串口的SPI来说,也被称为parallel接口,即并行接口。另外,CFI接口是JEDEC定义的,所以有的又称CFI接口为JEDEC接口。所以,可以简单理解为:对于Nor Flas...
android完整性检测,控制流完整性  |  Android 开源项目  |  Android Open Source Project...
weixin_39790738的博客
05-29 453
从 2016 年开始,Android 上大约 86% 的漏洞与内存安全相关。大多数漏洞被攻击者所利用,他们会改变应用的正常控制流,获取遭利用的应用的所有权限来执行任意恶意活动。控制流完整性 (CFI) 是一种安全机制,它不允许更改已编二进制文件的原始控制流图,因而执行此类攻击变得异常困难。在 Android 8.1 中,我们在媒体堆栈中启用了 LLVM 的 CFI 实现。在 Android 9 ...
CFI(Common Flash Interface)详解
EMMA3SLP的专栏
05-14 7318
【什么是CFICFI(Common Flash Interface),是JEDEC(Joint Electron Device Engineering Council,电子器件工程联合委员会)制定的一个接口,用来帮助程序读取Flash的制造商ID和设备ID,确定Flash的大小,获得flash的各个物理特性,比如block块的擦除时间等等。【为什么需要这个CFI】在应用CFI之前,Flash
Android 9.0 pie——“馅饼”的终版新功能
Coco
08-07 4625
android 新特性 :https://blog.csdn.net/GenlanFeng/article/details/79496359 此文仅是方便个人查阅所摘。 以下内容摘自谷歌开发者 Android 9 终版新功能 以机器学习为核心,打造更为智能的手机 Android 9 赋予手机强大的学习能力:系统能够根据用户在使用过程中展露的习惯与偏好,进行自我学习与适应 —— 从强劲续航...
.cfi指令解读(一)
lijiatong1005的专栏
07-13 1万+
CFI(calling frame info)的作用是出现异常时stack的回滚(unwind) 而回滚的过程是一级级CFA往上回退,直到异常被catch。 DWARF4标准的section 6.4: The call frame is identified by an address on the stack. We refer to this address as the Canon
CFI通知流程
weixin_34151004的博客
01-18 255
2019独角兽企业重金招聘Python工程师标准>>> ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值