峰會回顧第12期 | Wasm軟件生態(tài)系統(tǒng)安全分析

演講嘉賓 | 王浩宇

回顧整理 | 廖 濤

排版校對 | 李萍萍

嘉賓簡介

王浩宇，華中科技大學(xué)教授，博士生導(dǎo)師，華中科技大學(xué)OpenHarmony技術(shù)俱樂部主任。研究關(guān)注于新興軟件系統(tǒng)中的安全、隱私和可靠性問題，近五年發(fā)表CCF A類和CSRankings頂會論文近70篇，在軟件安全和系統(tǒng)測量領(lǐng)域的頂會論文成果在國內(nèi)名列前茅。

內(nèi)容來源

第一屆開放原子開源基金會OpenHarmony技術(shù)峰會——開發(fā)者工具分論壇

正 文 內(nèi) 容

WebAssembly（Wasm）是W3C標準化組織制定的一種高效、底層、可移植的字節(jié)碼格式。目前，Wasm越來越多地用于瀏覽器、無服務(wù)器計算、跨平臺容器和區(qū)塊鏈DApp等場景。Wasm與OpenHarmony生態(tài)能夠有哪些碰撞呢？華中科技大學(xué)網(wǎng)絡(luò)安全學(xué)院王浩宇教授在第一屆OpenHarmony技術(shù)峰會上，分享了當(dāng)前在Wasm安全領(lǐng)域所做的探索，并展望了Wasm與OpenHarmony結(jié)合的新方向。

01?

Wasm軟件生態(tài)系統(tǒng)介紹

目前，如C、C++、Rust、Go、Java、C#等幾乎所有主流高級語言都可以被編譯到Wasm，所有的主流瀏覽器也均支持Wasm。此外業(yè)界也實現(xiàn)了很多獨立的Wasm虛擬機（運行時），支持解釋器、AOT、JIT等模式。

WebAssembly (Wasm) 及其運行環(huán)境

Wasm的執(zhí)行架構(gòu)與設(shè)計特點有：

• 類型安全的棧指令：線性時間類型檢查算法，完全確定棧上值的數(shù)量和類型；

• 結(jié)構(gòu)化的控制流指令：內(nèi)部指令僅能根據(jù)嵌套結(jié)構(gòu)跳轉(zhuǎn)，簡化了編譯器實現(xiàn)；

• 可拓展的線性內(nèi)存：一頁為64KB，模塊中指定初始內(nèi)存頁和最大內(nèi)存頁數(shù)量，運行時可動態(tài)增長；函數(shù)調(diào)用棧，返回地址等重要數(shù)據(jù)由外部運行時維護，保證了安全性；

• 指令和數(shù)據(jù)完全分離：函數(shù)“地址”通過下標表示，非直接跳轉(zhuǎn)通過跳轉(zhuǎn)表實現(xiàn)。

Wasm的應(yīng)用前景十分廣闊。例如，Wasm能夠支持高效的Web計算，因此基于Wasm能夠?qū)崿F(xiàn)大型應(yīng)用在瀏覽器中運行；Wasm也支持跨平臺容器技術(shù)，適用于嵌入式、可信計算以及云計算等場景。此外，Wasm在Web 3.0/區(qū)塊鏈中的DApp和智能合約等領(lǐng)域也被應(yīng)用廣泛。

Wasm多語言、跨平臺以及高性能的特性，使其非常契合OpenHarmony面向萬物互聯(lián)新場景的開源生態(tài)，在移動設(shè)備上應(yīng)用前景廣泛。目前，WasmEdge開源項?維護者Michael Yuan等人已經(jīng)發(fā)起了OpenHarmony Wasm-SIG提案，致?于宣傳、實施、推?Wasm與OpenHarmony的集成，在OpenHarmony終端設(shè)備上可以安全高效的運行第三方開發(fā)者用 C、C++、Rust 等語言編寫的 Wasm 程序，有利于擴大 OpenHarmony生態(tài)的開發(fā)者群體。

02?

Wasm安全及相關(guān)研究

Wasm生態(tài)中也有很多安全問題得到了學(xué)術(shù)界的重視，包括前端編譯器安全，代碼移植安全，Wasm二進制安全，Wasm相關(guān)的惡意應(yīng)用，Wasm可信執(zhí)行環(huán)境等等。

• 代碼內(nèi)存安全：由于Wasm生態(tài)還較不成熟，在傳統(tǒng)二進制中已經(jīng)有成熟防御措施的漏洞仍然能夠被利用。例如，由于缺乏stack canary機制，攻擊者可以輕松利用棧溢出漏洞；Wasm也缺乏相關(guān)的堆保護機制等。

• 程序移植安全：大量的現(xiàn)有程序可以被“直接”編譯到Wasm，但可能會引入bug或安全問題；移植會導(dǎo)致代碼行為（如指針大小、內(nèi)存能力、環(huán)境變量等）不同；移植時處理不當(dāng)可能導(dǎo)致不同的堆內(nèi)存管理實現(xiàn)困難、缺乏安全措施等安全問題。

• 惡意Wasm程序：目前很大一部分Wasm程序被用于惡意挖礦等行為，Wasm也可以作為混淆或者加殼方式被惡意軟件利用。

Wasm (安全) 問題及學(xué)術(shù)界相關(guān)研究

然而，目前Wasm安全相關(guān)研究還處于初級階段。一方面，Wasm不斷引入的新特性與新場景持續(xù)帶來新的安全問題和挑戰(zhàn)；另一方面，Wasm幾乎沒有通用的程序分析框架，大部分工具都是針對特定平臺的Wasm二進制分析（只支持部分指令集、只對平臺相關(guān)庫函數(shù)做建模），無法分析通用 Wasm 二進制；此外，Wasm的二進制反編譯器還處于初期階段，Wasm虛擬機和編譯器不夠成熟，Wasm代碼混淆以及代碼保護技術(shù)還較為欠缺等。

針對上述安全問題，王浩宇教授所帶領(lǐng)的學(xué)術(shù)團隊在Wasm二進制翻譯、Wasm程序分析、Wasm運行時/編譯器bug檢測等方面做了安全增強相關(guān)工作。例如，在區(qū)塊鏈智能合約場景下，實現(xiàn)了從EVM字節(jié)碼到eWasm字節(jié)碼的安全Wasm二進制翻譯；提出了Wasm符號執(zhí)行框架EOSafe、Wasm模糊測試框架WASAI、Wasm通用二進制重寫框架BREWasm、Wasm二進制混淆工具Chaos等分析技術(shù)。此外，王浩宇教授團隊提出了針對Wasm運行時的模糊測試技術(shù)，已經(jīng)在wasmer,wasmtime,WAMR,wasm3,Wasm Edge等運行時中發(fā)現(xiàn)了數(shù)十個代碼缺陷。

王浩宇教授的團隊Wasm相關(guān)研究工作

03?

Wasm二進制重寫及其安全應(yīng)用

在本次峰會的開發(fā)者工具分論壇，王浩宇教授介紹了其團隊提出的一個通用的Wasm二進制重寫工具。Wasm二進制重寫具有無需源碼、跨平臺和跨語言等優(yōu)點，其應(yīng)用場景包括Wasm程序修復(fù)、測試用例生成、代碼插樁、輔助動態(tài)分析、Wasm代碼漏洞檢測、Wasm模糊測試、Wasm二進制保護與混淆等。目前，學(xué)術(shù)界已有的Wasm二進制重寫和插樁的研究大都只局限于簡單的指令級別修改，比如在某一指令前后添加一些指令，對控制流的修改也僅局限于某一特定模式的更改等。然而，一個通用的Wasm二進制重寫框架是如上眾多Wasm研究工作的基礎(chǔ)。

實現(xiàn)一個通用的Wasm二進制重寫框架存在一些挑戰(zhàn)。

（1）Wasm不同段之間的耦合性：Wasm中，一個函數(shù)的所有信息，包括函數(shù)簽名，函數(shù)指令等內(nèi)容分布在不同的Wasm段中，這導(dǎo)致對單獨一個段的重寫不足以實現(xiàn)Wasm中的一個微小功能。而且開發(fā)者需要熟悉多個段的不同的數(shù)據(jù)結(jié)構(gòu)才能實現(xiàn)對Wasm中某一功能的重寫；

（2）結(jié)構(gòu)化控制流與控制流修改：Wasm沒有g(shù)oto-like的跳轉(zhuǎn)指令，且只有將代碼塊進行嵌套才能添加跳轉(zhuǎn)指令，這對實現(xiàn)靈活的控制流重寫帶來了較大挑戰(zhàn)

（3）Wasm棧平衡校驗和修復(fù)：一個正確的Wasm二進制需要滿足靜態(tài)校驗規(guī)則。例如，一個函數(shù)的所有信息都靠函數(shù)的index索引，且函數(shù)的指令需要滿足棧平衡。在對Wasm二進制重寫后，如果出現(xiàn)了index之間的索引不一致或某一函數(shù)指令沒有棧平衡等靜態(tài)校驗問題，則會生成錯誤的Wasm二進制。

王浩宇教授團隊針對上述挑戰(zhàn)，分別提出了相應(yīng)的解決方案。針對挑戰(zhàn)（1），除了提供細粒度的對每個段中數(shù)據(jù)結(jié)構(gòu)的重寫功能外，還將各個段的結(jié)構(gòu)抽象成一組語義并提供大量針對語義的重寫API，使開發(fā)者不需要關(guān)心底層對各個段的修改邏輯。

針對挑戰(zhàn)（2），提出控制流結(jié)構(gòu)原子化的方法，在加載Wasm模塊時，對指令進行分割和構(gòu)建代碼塊（原子化），利用原子化的控制流結(jié)構(gòu)可以組合構(gòu)建更復(fù)雜的控制流結(jié)構(gòu)，并在修改結(jié)束后，將基于原子化代碼塊的控制流結(jié)構(gòu)轉(zhuǎn)換回Wasm指令。

針對挑戰(zhàn)（3），實現(xiàn)兩個輔助模塊indices-fixer和stack-calculator以修復(fù)索引錯誤和棧平衡。

BREWasm框架

基于上述解決方案，王浩宇教授帶領(lǐng)的團隊提出了一個通用的Wasm二進制重寫框架——BREWasm。該框架主要包括以下5部分功能：

• Wasm Parser：給定一套簡易DSL，將Wasm段和數(shù)據(jù)結(jié)構(gòu)抽象，并解析為一個可操作對象的列表；

• Section Rewriter：基于Wasm段和數(shù)據(jù)結(jié)構(gòu)抽象，實現(xiàn)細粒度段重寫API；

• Semantics Rewriter：將段重寫API進行組合，實現(xiàn)一組語義更為豐富的Semantic API；

• Control Flow Reconstructor：實現(xiàn)了一組能夠任意靈活修改控制流且無需關(guān)注棧平衡的Control Flow API；

• Wasm Encoder：將重寫后的可操作對象列表按照段和數(shù)據(jù)結(jié)構(gòu)抽象重新編碼為合法的 Wasm 二進制。

Wasm控制流原子化示意以及BREWasm中提供的部分Control Flow API

BREWasm能夠應(yīng)用在Wasm代碼混淆、Wasm程序棧溢出保護、Wasm程序插樁等場景。例如，在Wasm二進制混淆上，BREWasm采取切分原有Wasm代碼塊來獲得控制流重寫的基本元素，并將這些元素構(gòu)成一個switch-case的控制流結(jié)構(gòu)，再將其插入到while控制流中，可以僅用幾行代碼實現(xiàn)對任意Wasm程序的控制流平坦化混淆；在Wasm程序棧溢出保護上，僅調(diào)用BREWasm提供的幾個API，即可實現(xiàn)對可能存在棧溢出問題的函數(shù)進行hook，在函數(shù)被調(diào)用前提前在棧上插入canary，在函數(shù)執(zhí)行完成后去檢測canary的值是否發(fā)生改變，來確定函數(shù)執(zhí)行過程中是否出現(xiàn)了棧溢出問題；在Wasm程序插樁上，BREWasm能夠?qū)asm二進制插樁，實現(xiàn)動態(tài)污點分析，調(diào)用圖分析，內(nèi)存訪問分析，惡意挖礦檢測等功能，也能夠給定插樁規(guī)則，對每個Wasm指令進行自動化插樁，為Wasm 二進制導(dǎo)入外部實現(xiàn)的分析API。此外，BREWasm還能夠非常方便地應(yīng)用于Wasm代碼變換、Wasm程序修復(fù)以及Wasm模糊測試等場景。

BREWasm對任意Wasm程序?qū)崿F(xiàn)控制流平坦化示例

04?

總結(jié)與展望

跨語言、跨平臺、跨場景的開源軟件生態(tài)是發(fā)展趨勢，也引入眾多新的攻擊面。Wasm的特性使其非常契合OpenHarmony面向萬物互聯(lián)新場景的開源生態(tài)，而其中的安全問題也不可忽視。期待學(xué)術(shù)界和工業(yè)界一起，為萬物互聯(lián)的開源生態(tài)添磚加瓦，持續(xù)為新興軟件安全賦能！

Wasm未來研究展望

E N D

點擊下方閱讀原文獲取演講PPT。

關(guān)注我們，獲取更多精彩。