Este post é parcialmente uma análise de uma vulnerabilidade dupla (CVE-2019-11932) em uma biblioteca de processamento de imagens usada pelo WhatsApp e parcialmente uma referência para o desenvolvimento de ferramentas de teste em dispositivos para realizar fuzzing em bibliotecas nativas no Android. Fiquei sabendo dessa vulnerabilidade ao ler um post de blog do Awakened, o pesquisador que divulgou o problema. O autor não detalhou como esse problema foi encontrado, e eu queria entender se seria difícil redescobrir o bug. Como veremos, a vulnerabilidade em si é relativamente superficial e é fácil de reproduzir por meio de testes de fuzzing da biblioteca vulnerável com o AFL++.
Esse CVE é interessante porque o código vulnerável da biblioteca (android-gif-drawable < v1.2.18) pode ser acionado de forma remota enviando para alguém um arquivo GIF malformado. Essa primitiva não era perfeita, pois dependia do alvo realizar algumas ações manuais, como abrir a galeria de imagens do WhatsApp. Além disso, essa vulnerabilidade seria apenas parte de uma cadeia de componentes maior que incluiria vulnerabilidades adicionais, por exemplo, para realizar vazamentos de informações e escalar privilégios. No entanto, esses tipos de vulnerabilidades são raros e caros devido ao potencial valor que proporcionam em termos de inteligência humana. Esse caso também ilustra por que é tão importante que as aplicações auditem as bibliotecas incluídas em sua base de código. Talvez as grandes empresas devessem fazer mais para contribuir e melhorar a segurança do Open-Source Software (OSS) que utilizam em seus produtos. Um exemplo análogo mais recente resultou na divulgação de cinco vulnerabilidades em libxml2.
Com base na descrição de vulnerabilidades de Awakened,concentrei meus esforços na rotina de decodificação de GIF. Um arquivo GIF é estruturado como um cabeçalho e um descritor lógico de tela, seguidos por um fluxo de registros para cada quadro. Esses registros consistem em um descritor de imagem (largura, altura, posição e paleta), blocos de extensão opcionais (transparência, atrasos etc.) e dados de pixel compactados. Em decoding.c existe uma função, DDGifSlurp, que percorre os fluxos de registros GIF e cria metadados por quadro. Se decode=true, extrai pixels brutos por quadro. Normalmente, os quadros são do mesmo tamanho. Isso faz sentido porque quando você olha para um GIF, vê uma série de quadros sendo executados em loop. Quando os quadros são do mesmo tamanho, a função continuará reutilizando a alocação criada para armazenar o buffer (rasterBits). No entanto, a função lida com casos em que os quadros são de um tamanho diferente, chamando reallocarray para alocar um novo buffer. A função realloc é uma combinação de free e malloc. Se nenhum tamanho for fornecido, o ponteiro será simplesmente liberado.
Commit df309bb - decodificação.c aqui
Se imaginarmos que o primeiro quadro tem algumas dimensões normais,40*10, um buffer de 400 bytes será alocado. O segundo quadro tem algumas dimensões malformadas, 0*20. Nesse caso, o seguinte é verdadeiro:
Quando o reallocarray é chamado, o tamanho da alocação é calculado como 0*20=0; isso faz com que rasterBits sejam liberados. Se o terceiro quadro tiver dimensões malformadas de forma semelhante, ele liberará o mesmo ponteiro novamente, resultando em uma liberação dupla.
Os símbolos são importantes; eles facilitam a interpretação sobre o que um trecho de código está fazendo. Se você analisar bibliotecas que foram extraídas de um Android Package Kit (APK), elas provavelmente serão desprovidas de símbolos. Em nosso caso particular, para android-gif-drawable, isso não é um problema porque temos acesso ao código-fonte. No entanto, se você precisar fazer engenharia reversa de um binário de código fechado, deve pelo menos aplicar os tipos de Java Native Interface (JNI) para tornar o processo de pesquisa mais direto. Você pode ler uma publicação do @Ch0pin aqui para ter mais informações. No meu caso, estou usando o Binary Ninja e encontrei um arquivo de cabeçalho de tipo funcional que pode ser importado aqui.
Para entender como aplicar os tipos, você pode pesquisar no APK descompilado as declarações nativas. Na captura de tela abaixo, podemos ver algumas das declarações android-gif-drawable do APK em JEB.
Tome como exemplo getFrameDuration:
Aqui, J é traduzido para jlong e I é traduzido para jint. Observe que a função também tem um tipo de retorno jint. Se combinarmos esses valores com a convenção de chamada padrão para invocação JNI nativa, obteremos o seguinte resultado:
Você pode aplicar alguma automação a este processo (usando androguard, API JEB, etc). Com mapeamentos de tipo adequados, você pode percorrer de forma programática cada classe e aplicar todos os tipos identificados à biblioteca que está analisando.
É necessária alguma engenharia para analisar o API, extrair as definições de chamada e aplicá-las em seu descompilador preferido. Esse esforço vale a pena porque reduz a quantidade de trabalho manual e pode fornecer uma visão geral de alto nível do uso da biblioteca nativa no API como um todo.
A primeira coisa que fiz (já que a biblioteca é de código aberto) foi criar minha própria versão do android-gif-drawable a partir do pacote de lançamento v1.2.17 usando o Android NDK. Em seguida, revisei quais exportações estavam disponíveis no binário:
Essa é uma informação útil porque sabemos que podemos chamar DDGifSlurp diretamente e também podemos ver o conjunto de funções exportadas para JNI. Se olharmos novamente para o DDGifSlurp, veremos que o primeiro argumento é um ponteiro para um tipo complexo, GifInfo.
Commit do df309bb - gif.h aqui
Poderíamos criar manualmente um objeto GifInfo falso; no entanto, o objeto é muito grande e é uma composição de outros tipos complexos (como GifFileType). Em vez disso, faz mais sentido investigar as outras funções nativas para ver como os objetos GifInfo geralmente são criados. Podemos encontrar de forma rápida alguns candidatos em potencial.
Commit do df309bb - gif.c aqui
Dentre essas, as variantes de byte parecem ter a menor sobrecarga; em particular, openByteArray exige apenas que criemos um objeto jbyteArray , o que podemos fazer facilmente em C.
Note que o objeto GifInfo em si é criado pelo createGifInfo.
Commit df309bb - init.c aqui
No trecho de código acima, é possível ver que a função de inicialização também chama DDGifSlurp, mas não consegue acionar o código vulnerável porque decode=false. Definir esse sinalizador como false aciona o caso isInitialPass no DDGifSlurp, que registra apenas metadados por quadro sem analisar os quadros.
Neste ponto, temos um bom entendimento de como chamar o caminho do código vulnerável e podemos montar uma série de chamadas para chegar à função que queremos testar por meio de fuzzing.
No entanto, estamos perdendo dois elementos aqui. Primeiro, se criarmos milhares dessas cadeias de chamadas, ficaremos sem memória e travaremos nosso harness, por isso precisamos liberar todos os recursos que criarmos. Para isso, podemos usar outra das funções exportadas pelo JNI.
Commit df309bb - dispose.c here
O segundo elemento ausente é muito menos óbvio. Quando o DDGifSlurp inicializa o GIF, ele percorre a lista de quadros, modificando o objeto GifInfo à medida que avança. Antes de podermos processar o GIF novamente, precisamos retorná-lo ao seu estado inicial. Isso redefine nossa posição no ByteArrayContainer para a posição inicial e redefine algumas propriedades do objeto GifInfo, como pode ser visto abaixo.
Commit df309bb - controle.c aqui
Nossa cadeia de chamadas final fica assim:
Podemos criar um binário de teste que pegará um GIF do disco e o transmitirá por nossa cadeia de chamadas. Observe que incluímos um arquivo de cabeçalho jenv (obtido nesta postagem do Quarkslab) e também incluímos o cabeçalho gif diretamente da própria biblioteca android-gif-drawable.
Normalmente, para fuzzing, estaríamos em um dos três cenários:
No nosso caso, o openByteArray tem um protótipo bastante simples, então estamos nessa segunda categoria, em que conseguimos criar os argumentos da função a partir do C sem dependências adicionais.
O código acima vai ler uma imagem do disco, inicializar a Java Virtual Machine (JVM), criar um jbyteArray e passar a imagem através da nossa cadeia de chamadas. No final, exibimos algumas propriedades do objeto GifInfo para que possamos obter alguns metadados e confirmar que o código foi executado até o fim sem erros. Mais tarde, podemos usar esse binário de teste para depurar qualquer falha que encontrarmos.
Superada a parte difícil, podemos criar um ambiente harness de fuzzing envolvendo o código de teste em algum boilerplate do AFL++ . Na main, inicializamos o Java VM e criamos uma função que recebe um array de bytes como entrada. Essa função, fuzz_one_input, executará todas as ações necessárias para percorrer nossa cadeia de chamadas uma vez com o input fornecido. Usaremos o Frida para vincular essa função, de modo que o AFL possa enviar inputs para ela e coletar cobertura.
O pequeno script Frida abaixo permite que o AFL++ envie entradas para o harness. Ele injeta um pequeno C-hook que copia cada caso de teste do AFL diretamente no buffer de entrada da função, diz ao AFL++ exatamente onde reiniciar em cada iteração e aproveita a instrumentação do Frida para coletar a cobertura.
Finalmente podemos começar a testar o fuzzing no telefone.
Deixei o fuzzer rodando por cerca de 7 horas antes de encerrar o processo. Podemos ver na produção do AFL abaixo que executamos mais de 200 milhões de casos de teste e registramos 29,1 mil falhas, das quais 42 foram salvas. O AFL aplica algumas heurísticas com base no tipo de sinal, no endereço de falha e nos edges do mapa de cobertura para determinar se uma falha é suficientemente interessante para ser mantida. Isso não significa que cada um desses acidentes seja único.
Se quisermos priorizar as falhas, podemos aprimorar a biblioteca vulnerável adicionando algumas instruções de exibição adicionais que nos darão mais insights sobre o que acontece dentro da condição de decodificação do DDGifSlurp .
Para nossa conveniência, também podemos recompilar o test_DDGifSlurp com ASan, o que nos fornecerá informações mais detalhadas sobre o que deu errado no tempo de execução, sem necessariamente ter que mergulhar no LLBD imediatamente.
Existem algumas variações desta vulnerabilidade que podem ser acionadas dependendo do tamanho e da composição dos quadros GIF.
Neste exemplo, podemos ver uma variação que é quase idêntica à que Awakened apresenta em sua postagem no blog.
Parsers são obviamente difíceis de implementar corretamente, e é fácil cometer erros ou ter suposições incompatíveis sobre quais dados o parser irá processar. Essa vulnerabilidade foi muito fácil de redescobrir usando o nosso harness. Na verdade, o primeiro acidente foi relatado apenas alguns minutos após o início da execução.
Nos casos em que esses tipos de bibliotecas são incluídos em aplicações altamente críticas para a segurança, como aplicativos de mensagens, elas devem ser submetidas a extensos testes manuais e automatizados. Se os engenheiros de aplicações não validarem o código da biblioteca, é claro que os pesquisadores o farão (e eles podem ou não relatar suas descobertas, sem julgamentos).
Esse bug foi relatado e corrigido em 2019, mas eu estava curioso e fiz uma investigação no histórico de problemas do repositório. Para minha surpresa, encontrei um problema de 2016 que estava encerrado devido à inatividade, que quase certamente está relacionado à mesma vulnerabilidade.
O usuário relata uma falha do Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame, que é a maneira típica como a biblioteca usa a chamada DDGifSlurp vulnerável. No nosso harness, não chamamos essa função porque:
Essas ações exigem muito poder computacional se as executarmos milhares de vezes por segundo, e não precisamos delas para exercer a função vulnerável.
Espero que muitos pesquisadores da comunidade de pesquisa de vulnerabilidade (VR) estejam monitorando problemas abertos e fechados do GitHub de bibliotecas de código aberto que são carregadas por aplicações sensíveis. Considerando a visibilidade do WhatsApp como alvo de ataques, é improvável que eu seja o primeiro a analisar esse problema específico, e outros, na biblioteca android-gif-drawable. Eu não ficaria surpreso se esse bug fosse conhecido antes de 2019.
