Arm终端事业部安全和隐私战略总监卢旻盛计算的未来

全面了解显存标记扩充(,MTE)，怎样在Arm联通生态系统中实现MTE，以及为什么MTE是解决显存安全漏洞这一业界挑战的重要安全功能。

Arm终端事业部安全和隐私战略经理卢旻盛

估算的未来将由我们日常生活各个方面的日渐数字化所驱动，这也将造成软件和系统复杂性的不断降低。据相关数据报告称，2022中报告的漏洞数目超过23,000个(其中超过17,000个被归类为严重漏洞)，连续五年创下新高。

借助建立于最新Armv9构架的ArmCPU，我们可提供显存标记扩充(,MTE)等安全功能，以增加上述复杂性，并为软件开发者、芯片供应商和设备制造商提供影响深远的信息安全、功能安全、成本和上市时间优势。Armv9安全性改进可将个别类别的漏洞降低高达95%，比如在所有严重安全漏洞中占比最大的显存安全违法。

Arm的MTE作为Armv8.5指令集的组成部份于2019年一月首次推出，而后Arm于2021年六月宣布将其外置于首款兼容Armv9的CPU中。早在Armv9构架推出之前，微软就宣布在安卓中采用Arm的MTE，并旨在于在整个安卓堆栈中支持MTE。2022年年末，荣耀在其开发者会议上宣布，将通过荣耀天网并在未来的工具中向开发者提供支持MTE的6.x和7设备。未来，这可能搭载在荣耀的联通设备中。

在本文中今日刚开一秒传奇，我们将回答有关MTE的关键问题，包括哪些是MTE，它怎样应对例如显存安全之类的安全挑战，它的优势是哪些，以及我们的合作伙伴对该功能做了什么努力。

MTE的作用是哪些？它怎样在Arm生态系统中带来更出众的软件？

借助MTE，开发者可以快速找到显存相关漏洞，推动应用调试和开发流程。据悉，该功能支持动态修改配置，这意味着在现场可通过漏洞报告和遥测系统，向开发者回传有关访问故障位置的准确信息。

值得注意的是，许多开发者首次使用MTE时可能会发觉更多漏洞，远超过她们所才能修补的数目。并且，开发者可决定在产品发布之前先修补最严重的漏洞，之后在更新过程中解决不太严重的漏洞。据悉，随着时间推移，开发者的代码将显得越来越清晰，由于在此后的全局扫描中捕捉出的漏洞数目会降低，使这一流程愈发省时。崩溃、投诉和演练的频度也会急剧减少。

利用MTE，开发者可在布署前后进行检查并防止显存安全漏洞，因而有利于更广泛的联通生态系统。在布署之前找到并修补漏洞对于确保安全至关重要，由于这可以减轻已布署代码的攻击面。在布署以后检查漏洞可以在漏洞被大范围借助之前对漏洞进行反应性修补，而MTE可协助开发者进行这种测量。这样就能否有力地抵挡企图破坏安全代码的攻击。

解决显存安全违法为何这么重要？

数六年以来，显存安全始终都是安全漏洞的主要来源。据操作系统供应商(OSV)报告电脑内存怎么扩大，其产品中的大多数安全问题都缘于显存安全违法造成的漏洞。微软的项目团队表示，显存安全问题在所有严重安全漏洞中占到了70%。

显存安全违法可能会对用户形成巨大影响。恶意应用可通过不安全的显存来访问敏感数据，例如：用户账簿和密码，这样不法分子就才能访问绝密数据。不仅安全方面，由未解决的显存安全漏洞造成的中断会减少用户满意度，除了降低软件开发成本，而且将来要花费更多时间来解决这种问题。

显存管理问题早已存在了几六年，明天仍十分普遍。相关安全机构近日发布了一项手册[6]，借以帮助软件开发者和营运商避免和降低软件显存安全问题。该机构的“软件显存安全”网络安全信息表重点介绍了恶意网路行为者怎样借助显存管理不善的问题来访问敏感数据，发布未获授权的代码执行，以及所导致的其他负面影响。

哪些是显存安全违法？

显存安全违法有两种主要类型：空间安全违法和时间安全违法。MTE可提供在生产代码中测量这两种违法的机制，且无需使用任何仪器。

当在某个对象的真实边界之外访问该对象时，就违背了空间安全。诸如：将数据写入缓冲区或其他对象之外时。这可能会被拿来改变函数表针、保存寄存器或类似对象的目标地址。

当在某个对象已过期后使用了该对象的参考时，就违背了时间安全，一般是在该对象的显存已释放后——利用现有的“内存释放后使用”漏洞。凭着对分配器的了解，攻击者可以放置新的恶意对象来代替预期版本。

MTE的工作原理是哪些？

Arm实现的MTE为两阶段系统，即“锁”和“密钥”。假如秘钥匹配，则容许访问锁显存；否则，访问可能会被记录出来或出错。这样就可以更轻松地测量到无法捕获的显存安全错误，也有助于进行常规调试。

在锁和秘钥两阶段系统中，存在两种类型的标记：

地址标记，用作秘钥。这将在进程中每位表针的最低位降低四位。地址标记仅适用于64位应用，由于它使用了“高字节忽视”功能，这是Arm64位的一个功能。

显存标记，用作锁。显存标记也由四位组成，与应用显存空间中每位对齐的16字节区域相联接。Arm将这种16字节区域称为标记颗粒。这四位并不用于应用数据，并且是分开储存。

联通设备为何须要MTE？

未来市场上的联通设备将具有更先进的估算能力，因而攻击面也更大。与此同时，通过这种设备获得的个人内容和数据的数目和价值也在不断降低。为此，须要实现一种安全性功能，为终端用户提供安全生态系统和安全的数字体验。

MTE十分灵活，可在产品开发和布署的各个阶段布署在不同配置中。诸如：MTE可依照进程配置为异步和同步模式。异步模式的运行开支十分低，而且可用于确定存在显存问题的代码区域，而同步模式会在碰到造成安全违法的指令时出错，并在测量到漏洞时形成大量的调试信息。这些灵活性对大规模布署尤其有用，由于MTE具有高度的可扩充性，才能在数百万甚至数十亿台设备上运行，为系统和应用软件提供可靠的错误检查功能。

Arm在MTE方面的合作伙伴是谁？

2019年一月，微软宣布在安卓系统中采用Arm的MTE，承诺在安卓堆栈中支持MTE，并表示通过使用该技术，“哪怕有显存漏洞可借助，也将显得十分困难。”

Arm与微软在MTE技术方面的合作致力检查现有代码库和写入的新代码中存在的显存安全漏洞。以下是微软的和SudhiHerle的评论：

我们相信，显存标记将才能测量到环境中最常见的几种显存安全漏洞，同时帮助供应商辨识并修补这种漏洞，并制止恶意行为者借助这种漏洞。

安卓12添加了一个MTE初始实现，可测量到“内存释放后使用”漏洞和“缓冲区溢出”漏洞，而那些都是微软代码库中最常见的显存安全漏洞来源。在安卓13中，微软添加了一个开发者模式启动开关，便于在具有硬件支持但未永久开启MTE功能的设备上启用MTE。对于未来的安卓版本，Arm和微软将重点关注减少MTE使用的显存。

芯片供应商和设备制造商怎么看待？

MTE是所有Armv9CPU的固有功能。为了解决软件生态系统中的显存安全漏洞电脑内存怎么扩大，好多Arm合作伙伴早已在其芯片组中建立并启用该功能。其中一家率先使用MTE的设备制造商就是荣耀，该公司宣布，将通过荣耀天网并在未来的工具中向开发者提供支持MTE的6.x和7设备。这有力表明，在正式步入消费市场、基于Armv9技术的联通设备上，都可开启MTE。

这项成果早已开始形成积极影响。快手是一家领先的内容社区及社交平台。快手App是中国目前最广泛使用的短视频和直播手机应用之一，依照2022年第三季度财报数据，快手应用的平均日活跃用户为3.63亿，平均月活跃用户为6.26亿，快手的海外产品(Kwai和)拥有超1.6亿用户。该公司目前正与荣耀天网合作，在小型项目中使用ArmMTE提升显存安全，90%的显存安全问题可以在App即将发布之前就在线下被测量下来，取得了以下利润：

以下是快手对MTE的评价：

“快手的使命是成为全球最沉迷于为顾客创造价值的公司，为了给用户提供极至体验，快手特别注重保护用户隐私和信息安全，快手研制团队常年以来为了保证显存安全付出了巨大努力。但因为传统显存检查工具的性能开支较高，且须要重新编译所有源代码，所以几乎难以在快手联通端大型C++代码库的日常开发实践中使用这种工具，MTE解决了这种问题，在保证显存安全方面发挥着重要作。”

Arm为何将MTE外置于其产品和解决方案中？

MTE是Armv9构架中一系列新的及现有安全功能的组成部份，借以提升所有细分消费品市场的安全性。这意味着，我们的合作伙伴可通过自己在安全举措方面的软件投资来获取更高价值，因而产生一个标准化程度更高且更具扩充性的解决方案，以应对各类安全挑战。

Arm近日的MTE开发成果是哪些？

随着2022年三月发布的第二代Armv9CPU，我们推出了全新的非对称MTE，在安全漏洞检查速率、精度和针对性之间实现了更高的灵活性。这可提升应用的稳定性，有利于软件开发，同时有助于在整个生态系统中更广泛地推广MTE。采用Arm-X3、-A715和-A510最新版本(A510-r1)CPU的芯片组都将外置非对称MTE。

Arm构架是安全的数字体验的基石

Arm正在重新定义估算的未来，而MTE是提供安全联通体验的一个关键功能。Arm正在与联通生态系统中的所有合作伙伴（包括芯片供应商、设备制造商、操作系统供应商和开发者）联袂促进实现MTE功能，以降低开发时间和成本，同时提供安全可靠的用户体验。对于我们的生态系统来说，最重要的是MTE可以轻松地进行大规模布署。通过Armv9构架——这是全球数十亿联通设备的估算基础，MTE现已广泛普及，Arm构架正在成为全球数字化安全的基石。

、