Challenges in Fuzzing Embedded Devices：What You Corrupt Is Not What You Crash

這篇文章發(fā)表于NDSS 2018，作者M(jìn)arius Muench等人來(lái)自于歐洲電信學(xué)院(EURECOM)。這個(gè)團(tuán)隊(duì)對(duì)于與硬件相關(guān)的程序分析頗有研究，在CCS，NDSS等頂級(jí)安全會(huì)議上發(fā)表過(guò)多篇相關(guān)論文。

一、主要內(nèi)容：

在程序漏洞分析中，fuzz通常是一種有效的挖掘途徑，因此，在嵌入式設(shè)備的漏洞研究中，如果能使用fuzz的方式，應(yīng)該能帶來(lái)較好的效果。但是，與fuzz普通軟件程序不同的是，嵌入式設(shè)備固件通常缺少完善的內(nèi)存檢測(cè)機(jī)制，即使內(nèi)存發(fā)生corruption，也不會(huì)立即被檢測(cè)到，通常會(huì)產(chǎn)生滯后的crash或者其他的負(fù)面影響，這就會(huì)給fuzz帶來(lái)較大的困難。因此本文具體分析了嵌入式設(shè)備fuzz中的難題，并提出了一些啟發(fā)式的思路，希望能給后來(lái)相關(guān)的研究做一些鋪墊。

本文主要做了兩部分工作：1.嵌入式設(shè)備fuzz現(xiàn)存問(wèn)題的分析和歸納;2.提出了解決這些問(wèn)題的思路和方案。

二、問(wèn)題歸納：

作者針對(duì)生活中的嵌入式設(shè)備根據(jù)其OS的完善程度分為了三種設(shè)備，然后針對(duì)三種設(shè)備研究了觸發(fā)memory corruption時(shí)的反應(yīng)。為了準(zhǔn)確的確定memorycorruption的時(shí)機(jī)，作者修改了設(shè)備固件，人為地加入了一些漏洞，在fuzz中可以使用特定的輸入觸發(fā)memory corruption，以便于結(jié)果的觀測(cè)和統(tǒng)計(jì)。實(shí)驗(yàn)結(jié)果如下：

實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)結(jié)果印證了他們的猜測(cè)，缺少完善的內(nèi)存檢測(cè)機(jī)制會(huì)使設(shè)備產(chǎn)生難以直接觀測(cè)的負(fù)面影響。

另外，嵌入式設(shè)備fuzz對(duì)于硬件的依賴較大，廠商開(kāi)源代碼很少，工具鏈缺失等情況都給Fuzz的過(guò)程帶來(lái)較多的困難。模擬化門檻高使得fuzz過(guò)程難以并行，效率較低。

三、設(shè)計(jì)與實(shí)現(xiàn)：

為了更好的檢測(cè)內(nèi)存狀態(tài)，作者們提出了一些檢測(cè)的方法。針對(duì)段，堆和棧開(kāi)發(fā)相應(yīng)的檢測(cè)工具或者插件，判斷內(nèi)存讀寫(xiě)的合法性；針對(duì)格式化字符串，判斷字符串的只讀性等思路，來(lái)更好的檢測(cè)corruption。作者們也設(shè)計(jì)了實(shí)驗(yàn)驗(yàn)證這些思路的可行性，結(jié)果顯示，使用綜合檢測(cè)的方法可以檢測(cè)出所有的corruption。

同時(shí)，對(duì)嵌入式設(shè)備依賴較多硬件的情況，作者們也提出了全局虛擬化和局部虛擬化的解決思路，在一定程度上能解決效率的問(wèn)題。

四、總結(jié)：

本文針對(duì)現(xiàn)存的嵌入式fuzz困難做了歸納分析，也提出了相應(yīng)的解決思路，并通過(guò)一些簡(jiǎn)單的實(shí)驗(yàn)驗(yàn)證了思路的可行性。但整體上都是一些針對(duì)一些用于測(cè)試的案例進(jìn)行驗(yàn)證，并不能直接應(yīng)用到真實(shí)的場(chǎng)景中，另外，提出的幾點(diǎn)解決思路在實(shí)現(xiàn)上都存在較多的困難，距離可用還有很長(zhǎng)的一段路要走。

?
文丨 BlackMax, DJR, Robin