ARM MTE и жёсткая память: как сделать С-процессы менее уязвимыми / forpes.ru

Главная
ARM MTE и жёсткая память: как сделать С-процессы менее уязвимыми

ARM MTE и жёсткая память: как сделать С-процессы менее уязвимыми +1

22.08.2025 09:32

badcasedaily1 0 180 Источник

Привет, Хабр!

Если вы держали в руках любой крупный C или C++ код, то знаете, что память частенько ошибается. На ARM‑системах давно есть TBI, возможность прятать биты в верхнем байте адреса. На этой базе появился Memory Tagging Extension, коротко MTE. Это аппаратная проверка того, что указатель действительно свой для конкретного куска памяти. Часть механизмов есть в ядре Linux, часть в libc, часть в компиляторах, и из этого можно собрать жёсткую память, строгую к факапам и терпимую к продакшен‑нагрузке.

MTE добавляет к каждой 16-байтной грануле памяти 4-битный allocation tag. А в верхние биты адреса (59…56) вы добавляете logical tag указателя. Процессор на каждом доступе сравнивает тег указателя и тег памяти. Если не совпало, прилетит fault по выбранному режиму проверки. Гранула фиксированная — 16 байт. Тегов 16. Это значит, что при рандомизации тегов теоретический шанс пронести левый указатель без ошибки — 1 из 16, если атакующий не знает тег. Этот шанс можно давить паттернами тэгирования и дисциплиной работы аллокатора.

Режимы проверки три: sync, async и asymmetric. Sync — точный fault на инструкции доступа. Async — отчёт позже, адрес неизвестен, но накладные расходы меньше. Asymmetric — чтения синхронно, записи асинхронно.

Включаем MTE в Linux user-space: детект, prctl, mmap, сигналы

Чтобы вообще иметь право на теги, процессор должен уметь MTE, а ядро экспортировать фичу в user‑space через HWCAP2_MTE. Проверяем так и сразу настраиваем режимы:

// build: clang -std=c11 -O2 -Wall -Wextra -target aarch64-linux-gnu -march=armv8.5-a+memtag mte_boot.c
#define _GNU_SOURCE
#include <errno.h>
#include <inttypes.h>
#include <signal.h>
#include <stdbool.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/auxv.h>
#include <sys/mman.h>
#include <sys/prctl.h>
#include <unistd.h>

#ifndef HWCAP2_MTE
#define HWCAP2_MTE (1u << 18)
#endif

#ifndef PR_SET_TAGGED_ADDR_CTRL
#define PR_SET_TAGGED_ADDR_CTRL 55
#define PR_GET_TAGGED_ADDR_CTRL 56
#define PR_TAGGED_ADDR_ENABLE   (1UL << 0)
#define PR_MTE_TCF_SHIFT        1
#define PR_MTE_TCF_NONE         (0UL << PR_MTE_TCF_SHIFT)
#define PR_MTE_TCF_SYNC         (1UL << PR_MTE_TCF_SHIFT)
#define PR_MTE_TCF_ASYNC        (2UL << PR_MTE_TCF_SHIFT)
#define PR_MTE_TCF_MASK         (3UL << PR_MTE_TCF_SHIFT)
#define PR_MTE_TAG_SHIFT        3
#endif

static void install_sigsegv_handler(void);

static void enable_mte_thread(void) {
    unsigned long hwcap2 = getauxval(AT_HWCAP2);
    if (!(hwcap2 & HWCAP2_MTE)) {
        fprintf(stderr, "MTE not supported on this CPU/kernel\n");
        exit(2);
    }
    // Разрешаем tagged pointers в ABI и сразу просим sync+async ядро выберет предпочтительный режим CPU.
    unsigned long tag_include_mask = 0xfffeUL << PR_MTE_TAG_SHIFT; // исключаем zero-tag из случайной генерации
    unsigned long flags = PR_TAGGED_ADDR_ENABLE | PR_MTE_TCF_SYNC | PR_MTE_TCF_ASYNC | tag_include_mask;
    if (prctl(PR_SET_TAGGED_ADDR_CTRL, flags, 0, 0, 0) != 0) {
        perror("prctl(PR_SET_TAGGED_ADDR_CTRL)");
        exit(1);
    }
    install_sigsegv_handler();
}

static void segv_handler(int sig, siginfo_t* si, void* ctx) {
    (void)ctx;
    // si_code: SEGV_MTESERR для sync, SEGV_MTEAERR для async
    fprintf(stderr, "SIGSEGV: si_code=%d, addr=%p\n", si->si_code, si->si_addr);
    _Exit(128 + SIGSEGV);
}

static void install_sigsegv_handler(void) {
    struct sigaction sa = {0};
    sa.sa_flags = SA_SIGINFO;
    sa.sa_sigaction = segv_handler;
    sigemptyset(&sa.sa_mask);
    sigaction(SIGSEGV, &sa, NULL);
}

int main(void) {
    enable_mte_thread();
    // код
    return 0;
}

Константы PR_* и HWCAP2_MTE задокументированы в кернел‑доках. Режимы и коды si_code для SIGSEGV такие же, как в примере ядра.

Теперь нужна память с атрибутом PROT_MTE. Его можно задать сразу в mmap либо потом через mprotect. PROT_MTE работает только для анонимных и RAM‑бэкендов вроде tmpfs/memfd. На файловых маппингах обычных файлов ядро вернёт EINVAL.

Пример выделения страницы под теги:

// build: clang -std=c11 -O2 -target aarch64-linux-gnu -march=armv8.5-a+memtag mte_map.c
#include <sys/mman.h>
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>

void* mte_map_page(void) {
    size_t ps = (size_t)sysconf(_SC_PAGESIZE);
    void* p = mmap(NULL, ps, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0);
    if (p == MAP_FAILED) { perror("mmap"); exit(1); }
    if (mprotect(p, ps, PROT_READ|PROT_WRITE|PROT_MTE) != 0) { perror("mprotect PROT_MTE"); exit(1); }
    return p;
}

int main(void) {
    void* p = mte_map_page();
    printf("page: %p\n", p);
    return 0;
}

Ядро также разрешает задавать маску разрешённых для рандома тегов через PR_MTE_TAG_MASK. Обычно исключают 0.

Присваиваем и проверяем теги: intrinsics вместо inline asm

Теги надо не только включить, но и поставить. Есть ACLE‑intrinsics для MTE, заголовок <arm_acle.h>. Функции:

__arm_mte_create_random_tag(ptr, mask) возвращает указатель с рандомным logical tag, исключая маской запретные.
__arm_mte_set_tag(tagged_addr) записывает allocation tag по адресу гранулы, на которую указывает tagged_addr.
__arm_mops_memset_tag(tagged_addr, val, size) если есть ещё и MOPS, можно тегировать блоки пачкой, как memset с установкой тегов.

Соберём утилиту тэгирования диапазона и демонстрацию доступа с fault:

// build: clang -std=c11 -O2 -target aarch64-linux-gnu -march=armv8.5-a+memtag mte_tag_demo.c
#include <arm_acle.h>
#include <stddef.h>
#include <stdint.h>
#include <stdio.h>
#include <sys/mman.h>
#include <unistd.h>

static inline void* tag_range(void* base, size_t len, uint16_t exclude_mask) {
    // Выбираем один тег на объект и ставим его на все гранулы
    void* tagged = __arm_mte_create_random_tag(base, exclude_mask);
#if defined(__ARM_FEATURE_MOPS) && defined(__ARM_FEATURE_MEMORY_TAGGING)
    size_t g = 16;
    size_t n = (len + g - 1) / g * g;
    __arm_mops_memset_tag(tagged, 0, n);
#else
    // Fallback — проставляем тег на каждую гранулу
    uintptr_t p = (uintptr_t)tagged;
    uintptr_t start = p & ~((uintptr_t)0xF);
    uintptr_t end   = start + ((len + 15) & ~((size_t)0xF));
    for (uintptr_t a = start; a < end; a += 16) {
        __arm_mte_set_tag((void*)a);
    }
#endif
    return tagged;
}

int main(void) {
    size_t ps = (size_t)sysconf(_SC_PAGESIZE);
    void* raw = mmap(NULL, ps, PROT_READ|PROT_WRITE|PROT_MTE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0);
    if (raw == MAP_FAILED) return 1;

    char* buf = (char*)tag_range(raw, 64, /*exclude tag 0*/ 0x1);
    buf[0] = 0x42;          // ок — адрес с логическим тегом совпадает с аллок-тегом
    printf("ok: %p\n", buf);
    char* bad = (char*)((uintptr_t)buf & ~((uintptr_t)0xFF << 56)); // убираем логический тег
    bad[0] = 1;             // здесь прилетит SIGSEGV в sync/addr=bad, либо async без addr
    return 0;
}

Ссигнальный путь ядра в разных режимах ведёт себя по‑разному. В sync вы получите SIGSEGV с si_code = SEGV_MTESERR и валидным .si_addr. В async — SEGV_MTEAERR и .si_addr = 0.

Готовые интеграции: glibc, аллокаторы, компиляторы, Android

Если вы не пишете свой аллокатор, а используете glibc, то базовая интеграция с MTE есть из коробки через tunable. Достаточно запустить процесс с переменной окружения, и malloc начнёт выдавать тэгированную память, а стартовый код libc включит нужные режимы в ядре.

Ключ: GLIBC_TUNABLES=glibc.mem.tagging=<mask>, где бит 0 включает тэгирование аллокаций, бит 1 — precise faulting, бит 2 — «предпочтение системы» между sync/async. Дефолтное прод‑значение 5, то есть биты 0 и 2.

Пример запуска без переписывания кода:

# включаем тэгирование в malloc и даём системе выбрать режим с приоритетом производительности
GLIBC_TUNABLES=glibc.mem.tagging=5 ./your_binary

Производственные браузерные и мобильные стеки тоже двигаются в эту сторону. Chromium поддерживает MTE через PartitionAlloc и метит страницы/чанки, Android документирует режимы и позицию MTE в стекe безопасности. Для продакшена рекомендуют asymmetric или async с минимальной ценой. На новых Pixel включение MTE возможно в dev‑режиме через Options, но это не режим для обычного пользователя.

Компиляторы. Сторона инструментов — два направления:

HWAddressSanitizer в Clang. Это инструмент на базе top‑byte‑ignore и MTE. Включается -fsanitize=hwaddress, на машинах с MTE он может использовать железо. Документация LLVM и Android это подтверждают.
MemTagSanitizer/stack tagging. Есть sanitizer «memtag» и опции для тэгирования стека. В LLVM есть страница MemTagSanitizer, в GCC развивают -fsanitize=memtag-stack.

Свой жёсткий malloc: ретэг на free, паддинги по 16, красные зоны

Если вы контролируете аллокатор или хотите защитить отдельный пул вручную, то минимальная дисциплина такая: один тег на объект при alloc, агрессивный ретэг на free, паддинг до 16 байт и расположение подструктур на границах гранул. Пример простого обёртчика с безопасной ретэггацией и красной зоной:

// build: clang -std=c11 -O2 -fno-omit-frame-pointer -target aarch64-linux-gnu -march=armv8.5-a+memtag tagged_alloc.c
#include <arm_acle.h>
#include <stdalign.h>
#include <stdatomic.h>
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/mman.h>
#include <unistd.h>

typedef struct {
    size_t usable;
    void*  raw;   // адрес без логического тега, для munmap
} header_t;

static inline size_t round_up16(size_t n) { return (n + 15) & ~((size_t)15); }

// Выделяем память через mmap под заголовок+данные с PROT_MTE
static void* mte_alloc_raw(size_t bytes_with_hdr) {
    size_t ps = (size_t)sysconf(_SC_PAGESIZE);
    size_t total = ((bytes_with_hdr + ps - 1)/ps)*ps;
    void* raw = mmap(NULL, total, PROT_READ|PROT_WRITE|PROT_MTE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0);
    if (raw == MAP_FAILED) return NULL;
    return raw;
}

void* tagged_alloc(size_t n) {
    size_t user = round_up16(n);
    size_t pad  = 16; // красная зона после объекта
    size_t need = sizeof(header_t) + user + pad;
    void* raw = mte_alloc_raw(need);
    if (!raw) return NULL;

    // Заголовок делаем нетэгированным указателем.
    header_t* h = (header_t*)raw;
    h->usable = user;
    h->raw    = raw;

    // Данные начинаются после заголовка, выровненного до 16
    uintptr_t base = ((uintptr_t)raw + sizeof(header_t) + 15) & ~((uintptr_t)15);
    void* data = (void*)base;

    // Выбираем не-нулевой тег для объекта и ставим его на все гранулы user+pad
    uint16_t exclude0 = 0x1;
    void* tagged = __arm_mte_create_random_tag(data, exclude0);
    size_t total = user + pad;
#if defined(__ARM_FEATURE_MOPS) && defined(__ARM_FEATURE_MEMORY_TAGGING)
    __arm_mops_memset_tag(tagged, 0, total);
#else
    uintptr_t start = (uintptr_t)tagged & ~((uintptr_t)0xF);
    uintptr_t end   = start + round_up16(total);
    for (uintptr_t p = start; p < end; p += 16) __arm_mte_set_tag((void*)p);
#endif
    return tagged;
}

void tagged_free(void* tagged_ptr) {
    if (!tagged_ptr) return;

    // Ретэг перед освобождением: «ломаем» старые дэнглинги
    void* retagged = __arm_mte_create_random_tag(tagged_ptr, 0);
#if defined(__ARM_FEATURE_MEMORY_TAGGING)
    __arm_mte_set_tag(retagged); // достаточно сбить первую гранулу, аллокатор всё равно сейчас вернёт память ядру
#endif

    // Находим заголовок. У него top-byte = 0
    uintptr_t uptr = (uintptr_t)tagged_ptr & ~(((uintptr_t)0xFF) << 56);
    header_t* h = (header_t*)((uptr - sizeof(header_t)) & ~((uintptr_t)0xF));
    // munmap по raw
    // Здесь нужен реальный размер маппинга, в проде храните его в заголовке, упрощаем:
    size_t ps = (size_t)sysconf(_SC_PAGESIZE);
    munmap(h->raw, ps); // демонстрационно
}

Ретэг на free даёт отказоустойчивость к use‑after‑free. Старый указатель логически «не подходит» к памяти при следующем доступе и падает.

Красная зона из 16 байт ловит небольшие перезаползания за границу объекта. Помните, что гранула 16 байт, поэтому внутригранульные переполнения останутся невидимыми — их отлавливают паддинги и аккуратная раскладка подструктур.

PROT_MTE обязателен для диапазона, иначе тег‑доступы не работают.

Как выбрать и что измерять

Базовые варианты:

Разработка и CI — sync. Точные адреса, понятные отчёты, дороже по времени. Ядро шлёт SIGSEGV с SEGV_MTESERR и адресом.
Прод — asymmetric или async. На типичных рабочих нагрузках это около 1–2% к цене, при этом вы всё ещё убираете класс багов из эксплуатации.

Сырой sync может замедлять тяжёлые memset на десятки процентов. Это ожидаемо. В приложениях вклад меньше за счёт того, что не весь код — сплошные записи.

Ограничения

Важно держать в голове три вещи.

Первое. Гранула 16 байт. Переполнения внутри гранулы не детектятся. Алгоритмически это лечится выравниванием полей структур и паддингами. Второе. Тегов всего 16. Если злоумышленник может вытаскивать теги сайд‑чаннелом, он может подбирать валидные комбинации. Современные работы показывают, что через спекулятивные гаджеты можно утекать теги и подрывать вероятность защиты. Это не отменяет пользы MTE, но требует совмещения с другими приёмами и рандомизацией.

Третье. Async‑режим упрощает стабильность в проде, но сигнал приходит без конкретного адреса, значит для анализа вам нужен дополнительный лог и, возможно, выборочный sync на подозрительных участках.

Сценарии внедрения

Сценарий 1. Вы ничего не трогаете в коде, но хотите быстрый выигрыш на современных ARM‑серверах или ноутбуках. Собираете обычный релиз, запускаете сервис с GLIBC_TUNABLES=glibc.mem.tagging=5. В инфраструктуре включаете preferred режимы на CPU, чтобы ядро могло выбрать более строгий вариант при том же бюджете. Если система поддерживает, kernel‑docs описывают «preferred mode» на CPU.

Сценарий 2. Компонент с собственной ареной/пулом. Оборачиваете mmap‑пулы в PROT_MTE, добавляете tag_range() на alloc и ретэг на free. Выравниваете буферы по 16. По возможности добавляете красные зоны по 16 байт с каждой стороны.

Сценарий 3. Android/мобильный прод. Следуем гайдлайнам платформы: включаем asymmetric там, где доступно, либо async. Тестируем совместимость. Учитываем, что системные приложения уже могут жить с MTE, но это не означает, что каждый сторонний апповый аллокатор корректно тэгирует память.

Сценарий 4. Инструментирование. Включаем HWASan или memtag‑stack в CI, а в релизах — только heap‑тэгирование через glibc tunable. Это даёт хороший баланс.

Вывод

MTE это непанцея, но это максимально практичная жёсткая память для C на ARM. Включается с умеренной ценой и хорошо ловит то, что раньше уезжало в эксплуатацию: UAF, межобъектные выходы за границы. На Linux путь понятный: prctl, PROT_MTE, ACLE‑intrinsics, glibc‑tunable. На Android — выбор режима под профиль нагрузки.

ARM MTE не решает всех проблем, но помогает значительно повысить надёжность работы программ на C за счёт аппаратной проверки корректности использования памяти. Однако само понимание того, как устроена память и какие приёмы позволяют писать более безопасный код, требует системного изучения языка.

Для этого мы приглашаем вас на курс «Программист С». В рамках курса предусмотрены бесплатные открытые уроки, где можно познакомиться с ключевыми темами:

25 августа в 20:00 — «Обзор стандарта С23»
4 сентября в 20:00 — «Работа с I/O в Си. Изучаем подсистему ввод‑вывода»
15 сентября в 20:00 — «Основы работы с памятью в языке Си»

Кроме того, приглашаем вас ознакомиться с отзывами по курсу «Программист С». Это позволит понять, как обучение проходит на практике и какие впечатления оставляет у участников.