KUNGFU TECH

0
0
Lập trình
Thaycacac
Thaycacac thaycacac

Cấp Phát Bộ Nhớ Nhận Biết Loại: Vũ Khí Bí Mật Chống Lại Lỗi Bảo Mật iOS

Đăng vào 7 tháng trước

• 7 phút đọc

Chủ đề:

#programming#security#mobile#ios

Giới Thiệu

Mọi lập trình viên iOS đều đã từng xử lý quản lý bộ nhớ, nhưng ít ai biết đến một trong những đổi mới bảo mật mạnh mẽ nhất của Apple: cấp phát bộ nhớ nhận biết loại. Công nghệ này, được giới thiệu một cách âm thầm trong iOS 15 với kalloc_type cho kernel và mở rộng trong iOS 17 với xzone malloc cho không gian người dùng, đã thay đổi cơ bản cách tổ chức bộ nhớ nhằm ngăn chặn các cuộc tấn công.

Cấp Phát Bộ Nhớ Nhận Biết Loại Là Gì?

Các bộ cấp phát bộ nhớ truyền thống là "mù loại" – chúng chỉ đơn giản cung cấp các khối bộ nhớ dựa trên kích thước, mà không quan tâm đến loại dữ liệu bạn đang lưu trữ trong đó. Nó giống như một bãi đậu xe mà bất kỳ chiếc xe nào cũng có thể đậu ở bất kỳ chỗ nào, miễn là nó vừa.

Cấp phát bộ nhớ nhận biết loại thì hoàn toàn khác. Nó tổ chức bộ nhớ dựa trên LOẠI dữ liệu sẽ được lưu trữ, không chỉ dựa trên không gian cần thiết. Sử dụng phép so sánh bãi đậu xe, nó giống như có các khu vực đậu xe riêng cho xe tải, sedan và xe máy – ngay cả khi một chiếc xe máy có thể vừa vào chỗ của xe tải, nó không được phép ở đó.

Tổng Quan Kỹ Thuật

Cấp phát bộ nhớ nhận biết loại sử dụng thông tin loại tại thời điểm biên dịch để:

  • Phân chia các loại dữ liệu khác nhau thành các vùng bộ nhớ riêng biệt
  • Ngăn chặn các cuộc tấn công nhầm lẫn loại
  • Làm cho việc khai thác lỗi bộ nhớ trở nên khó khăn hơn
  • Duy trì hoặc cải thiện hiệu suất so với các bộ cấp phát truyền thống

Triển khai của Apple bao gồm ba bộ cấp phát chính:

  • kalloc_type - Bộ cấp phát an toàn ở cấp kernel (iOS 15+)
  • xzone malloc (XZM) - Bộ cấp phát an toàn ở cấp người dùng (iOS 17+)
  • libpas - Bộ cấp phát của WebKit cho bảo mật trình duyệt

Tại Sao Điều Này Quan Trọng?

Vấn Đề Trị Giá Tỷ Đô

Các lỗ hổng bộ nhớ là mục tiêu vàng cho các kẻ tấn công. Những lỗ hổng này có giá trị đến mức một chuỗi khai thác đơn lẻ có thể được bán với giá hàng triệu đô la trên thị trường đen. Chúng cho phép:

  1. Nhầm Lẫn Loại: Lừa hệ thống hiểu một loại dữ liệu như một loại khác
  2. Sử Dụng Sau Khi Giải Phóng (UAF): Truy cập bộ nhớ đã được giải phóng và có thể được cấp phát lại
  3. Tràn Bộ Nhớ: Ghi vượt quá ranh giới đã cấp phát để làm hỏng dữ liệu liền kề

Phá Vỡ Chuỗi Tấn Công

Khai thác truyền thống theo một mô hình dự đoán được: tìm một lỗi, phun bộ nhớ, kích hoạt cấp phát lại với một loại khác, đạt được nhầm lẫn loại, leo thang đến thực thi mã. Cấp phát nhận biết loại làm gãy chuỗi này ở bước cấp phát lại – các loại khác nhau sống trong các vùng bộ nhớ hoàn toàn riêng biệt, làm cho nhầm lẫn loại gần như không thể xảy ra.

Những Vấn Đề Nó Giải Quyết?

1. Khai Thác Sử Dụng Sau Khi Giải Phóng

Với các bộ cấp phát truyền thống, bộ nhớ đã giải phóng có thể được cấp phát lại cho bất kỳ loại nào, cho phép nhầm lẫn loại nguy hiểm. Cấp phát nhận biết loại đảm bảo rằng ngay cả khi có một con trỏ treo, bộ nhớ chỉ có thể được sử dụng lại bởi cùng một loại, ngăn chặn sự nhầm lẫn.

2. Tấn Công Phun Bộ Nhớ

Các kẻ tấn công thường lấp đầy bộ nhớ bằng các đối tượng của chúng, hy vọng sẽ rơi vào một vị trí đã giải phóng. Với cấp phát nhận biết loại, các đối tượng đã phun loại A không bao giờ chồng chéo với một đối tượng đã giải phóng của loại B, vô hiệu hóa kỹ thuật này.

3. Tấn Công Chuyển Khu Vực

Các cuộc tấn công vào kernel iOS thường sử dụng "chuyển khu vực" – di chuyển một trang từ một khu vực cấp phát này sang khu vực khác. Cấp phát nhận biết loại với việc tách biệt bộ nhớ ảo khiến việc này gần như không thể xảy ra.

Cách Nó Hoạt Động Ở Cấp Độ Kỹ Thuật

Kiến Trúc

Hệ thống chia bộ nhớ ảo thành các vùng riêng biệt:

  • Cấp phát chỉ dữ liệu (không có con trỏ)
  • Cấp phát loại A (ví dụ: cấu trúc UserAccount)
  • Cấp phát loại B (ví dụ: cấu trúc NetworkPacket)
  • Cấp phát loại C (ví dụ: cấu trúc FileHandle)

Mỗi loại nhận được một vùng bộ nhớ ảo riêng, ngăn chặn bất kỳ sự chồng chéo nào.

Các Thành Phần Chính

  1. Chữ Ký Loại: Mỗi vị trí cấp phát nhận được một chữ ký duy nhất dựa trên loại
  2. Phân Nhóm: Các loại tương tự được nhóm lại để hạn chế số lượng khu vực
  3. Tách Biệt Bộ Nhớ Ảo: Mỗi nhóm nhận được vùng bộ nhớ riêng
  4. Ngẫu Nhiên Hóa: Phân bổ nhóm được ngẫu nhiên hóa tại thời điểm khởi động

Triển Khai và Các Thực Hành Tốt Nhất

Đối Với Phát Triển Kernel

c Copy 
// Cách cũ (dễ bị tấn công)
void *buffer = kalloc(size);

// Cách mới (nhận biết loại) - kernel iOS 15+
struct my_struct *buffer = kalloc_type(struct my_struct);

Đối Với Phát Triển Không Gian Người Dùng

Trong iOS 17+, xzone malloc hoạt động một cách minh bạch sau các lệnh cấp phát tiêu chuẩn. Để tối đa hóa bảo vệ:

  1. Sử Dụng Các Loại Nhất Quán: Tránh ép kiểu con trỏ không cần thiết
  2. Tránh Nhầm Lẫn Loại: Không tái diễn giải bộ nhớ thành các loại khác nhau
  3. Ưu Tiên Swift: Kiểu mạnh mẽ của nó tự nhiên phù hợp với cấp phát nhận biết loại

Kiểm Tra Với Xcode

Kích hoạt bảo mật nâng cao trong Xcode để kiểm tra ứng dụng của bạn với cấp phát nhận biết loại:

  1. Mở Cài Đặt Xây Dựng
  2. Kích hoạt "Bảo Mật Nâng Cao"
  3. Chạy trên iPhone 17/Air hoặc trình giả lập

Điều này giúp xác định các vấn đề nhầm lẫn loại và các mẫu ép kiểu không an toàn.

Tác Động Thực Tế: Nghiên Cứu Trường Hợp SockPuppet

Apple đã thử nghiệm cấp phát nhận biết loại với SockPuppet, một lỗ hổng UAF mạnh mẽ năm 2019:

Không có cấp phát nhận biết loại:

  • Đọc/ghi kernel hoàn toàn đạt được
  • Có thể làm tổn hại hoàn toàn hệ thống
  • Khai thác hoạt động đáng tin cậy

Với cấp phát nhận biết loại:

  • Tất cả các nguyên tắc khai thác chính bị chặn
  • Ngăn chặn nhầm lẫn loại
  • Khai thác trở nên vô hiệu

Ba nguyên tắc tấn công SockPuppet đều thất bại vì chúng dựa vào việc cấp phát lại bộ nhớ với các loại khác nhau – chính điều mà cấp phát nhận biết loại ngăn cản.

Những Cạm Bẫy Phổ Biến Cần Tránh

Nhầm Lẫn Loại Union

Tránh các union trộn lẫn các trường con trỏ và dữ liệu. Thay vào đó, hãy sử dụng union có gán nhãn hoặc phân chia cấp phát.

Hồ Bơi Bộ Nhớ Tùy Chỉnh

Hãy để bộ cấp phát hệ thống xử lý quản lý bộ nhớ thay vì triển khai các hồ bơi tùy chỉnh mà bỏ qua bảo vệ nhận biết loại.

Lạm Dụng Ép Kiểu

Bảo tồn thông tin loại xuyên suốt mã của bạn thay vì sử dụng các con trỏ void tổng quát.

Tương Lai Của An Toàn Bộ Nhớ

Cấp phát nhận biết loại là một phần của xu hướng rộng hơn:

  • Apple Silicon trong tương lai sẽ có nhiều tính năng an toàn bộ nhớ hơn
  • Các trình biên dịch đang trở nên thông minh hơn trong việc suy luận loại
  • Sự áp dụng trên nhiều nền tảng đang bắt đầu

Những Điểm Chính

  1. Bảo Vệ Tự Động: Trên iOS 15+ (kernel) và iOS 17+ (không gian người dùng), cấp phát nhận biết loại hoạt động âm thầm ở phía sau

  2. Viết Mã An Toàn Loại: Việc sử dụng loại sạch hơn có nghĩa là bảo vệ tốt hơn

  3. Kiểm Tra Với Bảo Mật Nâng Cao: Sử dụng công cụ của Xcode để xác nhận ứng dụng của bạn

  4. Kết Hợp Với Các Biện Pháp Khác: Hoạt động tốt nhất với Swift, ARC, và các tính năng an toàn khác

  5. Không Có Đánh Đổi Hiệu Suất: Triển khai của Apple duy trì hiệu suất xuất sắc

Kết Luận

Cấp phát bộ nhớ nhận biết loại đại diện cho một sự thay đổi cơ bản trong bảo mật bộ nhớ. Bằng cách tổ chức bộ nhớ dựa trên loại thay vì chỉ dựa trên kích thước, Apple đã tạo ra một phòng thủ mạnh mẽ chống lại các lớp khai thác đã đeo bám phần mềm trong nhiều thập kỷ.

Đọc Thêm:

  • Bảo Mật Apple: Hướng tới thế hệ tiếp theo của an toàn bộ nhớ XNU

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào