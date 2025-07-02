يُعد هذا المنشور في جزء منه تحليلاً لثغرة التفريغ المزدوج للذاكرة (CVE-2019-11932) في مكتبة معالجة الصور المستخدمة في WhatsApp، وفي جزء آخر يُعد مرجعًا لتطوير نظام اختبار على الجهاز عند اختبار المكتبات الأصلية عشوائيًا على Android. لقد علمت بهذه الثغرة لأول مرة من خلال قراءة منشور مدونة كتبه Awakened، الباحث الذي كشف عن المشكلة. لم يوضح الكاتب كيفية العثور على هذه المشكلة، وأردت أن أعرف مدى صعوبة إعادة اكتشاف هذا الخطأ. وكما سنرى، فإن الثغرة الأمنية نفسها بسيطة إلى حد ما ويسهل إعادة إنتاجها عن طريق اختبار المكتبة المعرضة للخطر عشوائيًا باستخدام AFL++.
تُعد نقاط الضعف والثغرات الأمنية الشائعة (CVE) هذه مثيرة للاهتمام على وجه الخصوص لأنه يمكن تشغيل كود المكتبة المعرض للخطر (android-gif-drawable < v1.2.18) عن بُعد من خلال إرسال ملف GIF مشوه إلى شخص ما. ولم تكن هذه الطريقة البدائية مثالية لأنها اعتمدت على اتخاذ الهدف لبعض الإجراءات اليدوية، مثل فتح معرض صور WhatsApp. بالإضافة إلى ذلك، لن تكون هذه الثغرة الأمنية إلا جزءًا من سلسلة عناصر أكبر تتضمن ثغرات أمنية إضافية، على سبيل المثال، لتنفيذ عمليات تسريب المعلومات وزيادة الامتيازات. لكن هذه الأنواع من الثغرات الأمنية نادرة ومكلفة بسبب القيمة الاستخباراتية البشرية المحتملة التي تقدمها. توضح هذه الحالة أيضًا سبب أهمية تدقيق التطبيقات في المكتبات التي تدرجها في قاعدة الكود الخاصة بها. ربما ينبغي للمؤسسات الكبيرة أن تبذل المزيد من الجهد للإسهام في تحسين أمن البرمجيات مفتوحة المصدر (OSS) التي تستخدمها في منتجاتها. وقد أدى مثال أحدث مماثل إلى الكشف عن خمس ثغرات في libxml2.
بناءً على مقالة Awakenedعن الثغرة الأمنية، ركزت جهودي على إجراء فك تشفير ملف GIF. يتكون هيكل ملف GIF من رأس الصفحة وواصف شاشة منطقي متبوعٍ بتدفق من التسجيلات لكل إطار. تتكون هذه التسجيلات من واصف الصورة (العرض، والارتفاع، والوضعية، والألوان)، وكتل اختيارية ملحقة (الوضوح، وإبطاء الحركة، وما إلى ذلك)، وبيانات وحدات بكسل مضغوطة. في decoding.c، توجد دالة، تُسمى DDGifSlurp، تستعرض تدفقات تسجيلات GIF وتُنشئ بيانات وصفية لكل إطار. في حال ظهور الدالة decode=true، فإنها تستخرج وحدات البكسل الأولية لكل إطار. عادةً ما تكون الإطارات بحجم واحد. وهذا أمر منطقي لأنه عندما تنظر إلى صورة GIF، فإنك ترى سلسلة من الإطارات تُعرض في حلقة متكررة. عندما تكون الإطارات بحجم واحد، ستستمر الدالة في إعادة استخدام التخصيص الذي أنشأته لتخزين المخزن المؤقت (rasterBits). ومع ذلك، تتعامل الدالة مع الحالات التي تكون فيها الإطارات مختلفة الحجم عن طريق استدعاء reallocarray لتخصيص مخزن مؤقت جديد. دالة realloc هي مزيج من free وmalloc. إذا لم يتوفر أي حجم، فإنها ببساطة تحرر المؤشر.
تنفيذ df309bb - decoding.c هنا
إذا تخيلنا أن الإطار الأول له أبعاد طبيعية، 40*10، يُخصص مخزن مؤقت بحجم 400 بايت. أما الإطار الثاني، فله أبعاد مشوهة، 0*20. في هذه الحالة، يكون ما يلي صحيحًا:
عند استدعاء reallocarray، يُحسب حجم التخصيص على أنه 0*20=0؛ وهذا يتسبب في أن تكون rasterBits free'd. إذا كان الإطار الثالث يحتوي على أبعاد مشوهة بالمثل، فإنه يحررالمؤشر نفسه مرة أخرى، ما ينتج عنه ثغرة التفريغ المزدوج للذاكرة.
الرموز مهمة؛ فهي تسهل تفسير ما يفعله جزء من الكود. إذا حللت المكتبات المستخلصة من ملف Android Package Kit (APK)، فمن المرجح أن تكون مجردة من الرموز. في حالتنا هذه على وجه الخصوص، بالنسبة إلى android-gif-drawable، هذه ليست مشكلة لأننا نستطيع الوصول إلى المصدر. ولكن، إذا كنت بحاجة إلى إجراء هندسة عكسية لملف ثنائي مغلق المصدر، فيجب عليك على الأقل تطبيق أنواع واجهة جافا الأصلية (JNI) لجعل عملية البحث أكثر وضوحًا. يوجد منشور نشره @Ch0pin يمكنك قراءته من هنا لتزويدك بمزيد من المعلومات الأساسية. في حالتي، استخدمت Binary Ninja، ووجدت ملف عنوان أنواع عامل يمكن استيراده هنا.
لفهم كيفية تطبيق الأنواع، يمكنك البحث في ملف APK الذي جرى فك تحويله البرمجي عن البيانات الأصلية. في لقطة الشاشة أدناه، يمكننا أن نرى بعض بيانات android-gif-drawable المأخوذة من ملف APK في JEB.
إليك getFrameDuration كمثال:
هنا، تترجمJ إلى jlong وI تترجم إلى jint. لاحظ أن الدالة تحتوي أيضًا على نوع إرجاع هو jint. إذا دمجنا هذه القيم مع اصطلاح الاستدعاء القياسي لاستدعاء JNI الأصلي، فسينتهي بنا الأمر إلى ما يلي:
يمكنك تطبيق بعض الأتمتة على هذه العملية (باستخدام واجهة androguard، أو JEB، إلخ). باستخدام تعيينات الأنواع المناسبة، يمكنك برمجيًا تتبع كل فئة وتطبيق جميع الأنواع المحددة على المكتبة التي تُحللها.
يلزم إجراء بعض الأعمال الهندسية لتحليل ملف APK، واستخراج تعريفات الاستدعاء، وتطبيقها في أداة فك التشفير التي تفضلها. وهذا الجهد في محله لأنه يقلل من حجم العمل اليدوي، ويمكن أن يمنحك نظرة عامة موجزة على استخدام المكتبة الأصلية في APK ككل.
أول شيء فعلته (بما أن المكتبة مفتوحة المصدر) هو إنشاء إصداري الخاص من android-gif-drawable من حزمة الإصدار v1.2.17 باستخدام Android NDK. بعد ذلك، راجعت الصادرات المتوفرة في الملف الثنائي:
وهذه معلومات مفيدة لأننا نعلم أنه يمكننا استدعاء DDGifSlurp مباشرةً، ويمكننا أيضًا رؤية مجموعة الدوال التي يصدرها JNI. إذا نظرنا إلى DDGifSlurp مرة أخرى، سنجد أن الوسيطة الأولى هي مؤشر لنوع معقد، هو GifInfo.
تنفيذ df309bb - gif.h هنا
يمكننا إنشاء كائن GifInfo مزيف يدويًا؛ لكن هذا الكائن كبير جدًا وهو في حد ذاته مجمع من أنواع معقدة أخرى (مثل GifFileType). فبدلاً من ذلك، من المنطقي أكثر التحقق من الدوال الأصلية الأخرى لمعرفة كيفية إنشاء كائنات GifInfo عادةً. يمكننا العثور بسرعة على بعض المرشحين المحتملين.
تنفيذ df309bb - gif.c هنا
من بين هذه المتغيرات، يبدو أن متغيرات البايت هي الأقل تكلفة؛ فعلى وجه الخصوص، لا يتطلب منا openByteArray سوى إنشاء كائن jbyteArray، وهو ما يمكننا فعله بسهولة بلغة C.
لاحظ أن كائن GifInfo نفسه يُنشأ باستخدام createGifInfo
تنفيذ df309bb - init.c هنا
في مقتطف الكود الوارد أعلاه، يمكنك أن ترى أن دالة التهيئة تستدعي أيضًا DDGifSlurp، ولكنها لا تتمكن من تشغيل الكود الذي يحتوي على ثغرة لأن decode=false. يؤدي تعيين هذه العلامة على خاطئة إلى تشغيل حالة isInitialPass داخل DDGifSlurp، والتي تسجل البيانات الوصفية لكل إطار فقط من دون تحليل الإطارات.
في هذه المرحلة، أصبح لدينا فهم جيد جدًا لكيفية استدعاء مسار الكود الذي به ثغرات، ويمكننا تجميع سلسلة من الاستدعاءات للوصول إلى الدالة التي نريد اختبارها عشوائيًا.
ومع ذلك، فإننا نفتقد عنصرين هنا. أولاً، إذا أنشأنا الآلاف من عمليات الاستدعاء هذه، فستنفد الذاكرة ويتعطل نظام الاختبار لدينا، لذا علينا التأكد من توفير أي موارد ننشئها. ولتحقيق ذلك، يمكننا استخدام دالة أخرى من الدوال المصدرة من JNI.
تنفيذ df309bb - dispose.c هنا
والعنصر الثاني المفقود أقل وضوحًا بكثير. عندما تهيئ DDGifSlurp ملف GIF، فإنه تفحص قائمة الإطارات، وتعدل كائن GifInfo في أثناء ذلك. قبل أن نتمكن من معالجة ملف Gif مرة أخرى، نحتاج إلى إرجاعه إلى حالته الأولية. حيث يؤدي فعل ذلك إلى إعادة تعيين موضعنا في ByteArrayContainer إلى موضع البدء وإعادة تعيين بعض خصائص كائن GifInfo، كما يتضح أدناه.
تنفيذ df309bb - controle.c هنا
تبدو سلسلة الاستدعاءات النهائية لدينا على النحو التالي:
يمكننا إنشاء ملف اختبار ثنائي يأخذ ملف GIF من القرص الصلب ويمررها عبر سلسلة الاستدعاءات لدينا. لاحظ أننا أضفنا ملف عنوان jenv (مأخوذ من منشور Quarkslab هذا )، وأضفنا أيضًا عنوان gif مباشرةً من مكتبة android-gif-drawable نفسها.
عادةً، بالنسبة إلى الاختبار العشوائي، سنكون في أحد السيناريوهات الثلاثة التالية:
في حالتنا هذه، لدى openByteArray نموذج أولي بسيط إلى حد ما، لذا نحن في هذه الفئة الثانية، حيث يمكننا إنشاء وسيطات الدوال من C من دون تبعيات إضافية.
الكود أعلاه سيقرأ صورة من القرص، ويهيئ جهاز جافا الافتراضي (JVM)، وينشئ jbyteArray، ويمرر الصورة عبر سلسلة الاستدعاءات لدينا. وفي النهاية، نطبع بعض الخصائص من كائن GifInfo حتى نتمكن من الحصول على بعض البيانات الوصفية والتأكد من تشغيل الكود حتى الاكتمال من دون أخطاء. ولاحقًا، يمكننا استخدام ملف الاختبار الثنائي هذا لتصحيح أي أعطال قد نجدها.
بعد تجاوزنا للجزء الصعب، يمكننا إنشاء نظام اختبار عشوائي عن طريق تضمين كود الاختبار في قوالب AFL++. بشكل أساسي، نهيئ جهاز جافا الافتراضي ثم ننشئ دالة تأخذ مصفوفة بايت كإدخال. ستنفذ هذه الدالة، fuzz_one_input، جميع الإجراءات اللازمة للتقدم عبر سلسلة الاستدعاءات مرة واحدة باستخدام الإدخال المقدم. سنستخدم Frida لربط هذه الدالة حتى يتمكن AFL من تمرير المدخلات إليها وجمع بيانات التغطية.
نص Frida البرمجي الصغير أدناه يجعل AFL++ تمرر مدخلات إلى نظام الاختبار. ويحقن خطاف C صغير ينسخ كل حالة اختبار AFL مباشرة إلى المخزن المؤقت لمدخلات الدالة، ويخبر AFL++ بالضبط أين تبدأ في كل دورة تكرار، وتستفيد من أدوات Frida لجمع بيانات التغطية.
وأخيرًا، يمكننا بدء اختبار عشوائي على الهاتف.
تركت أداة الاختبار العشوائي تعمل لمدة 7 ساعات تقريبًا قبل إنهاء التشغيل. وكما نرى من خلال إخراج AFL أدناه، لقد نفذنا أكثر من 200 مليون حالة اختبار وسجلنا 29.1 ألف عطل، حفظ منهم 42. يطبق AFL بعض القواعد الاستدلالية بناءً على نوع الإشارة، وعنوان الأعطال، والحدود في خريطة التغطية لتحديد ما إذا كان العطل مهمًا بما يكفي لحفظه أم لا. وهذا لا يعني أن كل عطل من هذه الأعطال فريد من نوعه.
إذا أردنا فرز الأعطال، يمكننا توسيع المكتبة المعرضة للخطر عن طريق إضافة بعض عبارات الطباعة الإضافية التي ستمنحنا المزيد من المعارف حول ما يحدث داخل حالة فك تشفير DDGifSlurp.
ولتسهيل الأمر علينا، يمكننا أيضًا إعادة تجميع test_DDGifSlurp باستخدام ASan، وهو ما سيعطينا معلومات أكثر تفصيلاً حول الخطأ الذي حدث في وقت التشغيل من دون الاضطرار إلى فحص LLBD على الفور.
توجد بعض الأشكال المختلفة لهذه الثغرة التي يمكن تشغيلها بناءً على حجم وتكوين إطارات GIF.
في هذا المثال، يمكننا أن نرى تباينًا مطابقًا تقريبًا للتباين الموجود في منشور مدونة Awakened.
من الواضح أنه من الصعب فهم أداوت التحليل بشكل صحيح، ومن السهل ارتكاب الأخطاء أو وضع فرضيات غير متطابقة حول البيانات التي ستعالجها أداة التحليل. كان من السهل جدًا إعادة اكتشاف هذه الثغرة الأمنية باستخدام نظام الاختبار لدينا. وفي الواقع، أُبلغ عن أول حادث تعطل بعد دقائق قليلة من بدء التشغيل.
في الحالات التي تكون فيها هذه الأنواع من المكتبات مضمنة في التطبيقات شديدة الحساسية الأمنية، مثل تطبيقات المراسلة، يجب قطعًا أن تخضع لاختبارات يدوية وآلية مكثفة. إذا لم يتحقق مهندسو التطبيقات من كود المكتبة، فمن الواضح أن الباحثين سيفعلون ذلك (وقد يبلغون أو لا يبلغون عن نتائجهم، من دون إصدار أية أحكام).
جرى الإبلاغ عن هذا الخطأ وإصلاحه في عام 2019، لكنني شعرت بالفضول وأجريت ببعض التحقيقات في سجل مشكلات المستودع. ومما أثار دهشتي، أني وجدتُ مشكلة تعود إلى عام 2016 أُغلقت بسبب عدم النشاط، والتي من شبه المؤكد أنها تتعلق بهذه الثغرة نفسها.
يبلغ المستخدم عن عطل في Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame، وهي الطريقة المعتادة التي تستخدم بها المكتبة استدعاء DDGifSlurp المعرضة للخطر. في نظام الاختبار لدينا، لا نستدعي هذه الدالة للأسباب التالية:
تتطلب هذه الإجراءات حوسبة مكثفة إذا نفذناها آلاف المرات في الثانية، ونحن لا نحتاج منها اختبار الدالة المعرضة للخطر.
أتوقع أن العديد من الباحثين في مجتمع أبحاث الثغرات الأمنية (VR) يراقبون مشكلات GitHub المفتوحة والمغلقة الواردة من المكتبات مفتوحة المصدر التي جرى تحميلها بواسطة تطبيقات حساسة. وبالنظر إلى مدى أهمية تطبيق WhatsApp كهدف، فلا أظن أني أنا أول من يفحص هذه المشكلة تحديدًا، وغيرها، في مكتبة android-gif-drawable. ولن أتفاجأ على الإطلاق إذا كان هذا الخطأ معروفًا قبل عام 2019.
1. كيفية تحول خطأ التفريغ المزدوج للذاكرة في WhatsApp إلى RCE - هنا
2. ثغرة معالجة صور GIF المصححة لا تزال تؤثر في تطبيقات الأجهزة المحمولة - هنا
3. الاختبار العشوائي للصندوق الرمادي على Android باستخدام AFL++ ووضع Frida - هنا
4. اختبار Redux عشوائيًا، والاستفادة من AFL ++ ووضع Frida على مكتبات Android الأصلية - هنا
5. android-gif-drawable - هنا
