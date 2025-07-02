Este post é parcialmente uma análise de uma vulnerabilidade dupla (CVE-2019-11932) em uma biblioteca de processamento de imagens usada pelo WhatsApp e parcialmente uma referência para o desenvolvimento de ferramentas de teste em dispositivos para realizar fuzzing em bibliotecas nativas no Android. Fiquei sabendo dessa vulnerabilidade ao ler um post de blog do Awakened, o pesquisador que divulgou o problema. O autor não detalhou como esse problema foi encontrado, e eu queria entender se seria difícil redescobrir o bug. Como veremos, a vulnerabilidade em si é relativamente superficial e é fácil de reproduzir por meio de testes de fuzzing da biblioteca vulnerável com o AFL++.

Esse CVE é interessante porque o código vulnerável da biblioteca (android-gif-drawable < v1.2.18) pode ser acionado de forma remota enviando para alguém um arquivo GIF malformado. Essa primitiva não era perfeita, pois dependia do alvo realizar algumas ações manuais, como abrir a galeria de imagens do WhatsApp. Além disso, essa vulnerabilidade seria apenas parte de uma cadeia de componentes maior que incluiria vulnerabilidades adicionais, por exemplo, para realizar vazamentos de informações e escalar privilégios. No entanto, esses tipos de vulnerabilidades são raros e caros devido ao potencial valor que proporcionam em termos de inteligência humana. Esse caso também ilustra por que é tão importante que as aplicações auditem as bibliotecas incluídas em sua base de código. Talvez as grandes empresas devessem fazer mais para contribuir e melhorar a segurança do Open-Source Software (OSS) que utilizam em seus produtos. Um exemplo análogo mais recente resultou na divulgação de cinco vulnerabilidades em libxml2.

