Tags
Segurança

Reprodução de um bug de milhões de dólares: WhatsApp CVE-2019-11932 (com AFL e Frida)

Close nas mãos de uma mulher segurando um smartphone e enviando mensagens de texto em frente a uma camisa amarela

Autores

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

Introdução

Este post é parcialmente uma análise de uma vulnerabilidade dupla (CVE-2019-11932) em uma biblioteca de processamento de imagens usada pelo WhatsApp e parcialmente uma referência para o desenvolvimento de ferramentas de teste em dispositivos para realizar fuzzing em bibliotecas nativas no Android. Fiquei sabendo dessa vulnerabilidade ao ler um post de blog do Awakened, o pesquisador que divulgou o problema. O autor não detalhou como esse problema foi encontrado, e eu queria entender se seria difícil redescobrir o bug. Como veremos, a vulnerabilidade em si é relativamente superficial e é fácil de reproduzir por meio de testes de fuzzing da biblioteca vulnerável com o AFL++.

Esse CVE é interessante porque o código vulnerável da biblioteca (android-gif-drawable < v1.2.18) pode ser acionado de forma remota enviando para alguém um arquivo GIF malformado. Essa primitiva não era perfeita, pois dependia do alvo realizar algumas ações manuais, como abrir a galeria de imagens do WhatsApp. Além disso, essa vulnerabilidade seria apenas parte de uma cadeia de componentes maior que incluiria vulnerabilidades adicionais, por exemplo, para realizar vazamentos de informações e escalar privilégios. No entanto, esses tipos de vulnerabilidades são raros e caros devido ao potencial valor que proporcionam em termos de inteligência humana. Esse caso também ilustra por que é tão importante que as aplicações auditem as bibliotecas incluídas em sua base de código. Talvez as grandes empresas devessem fazer mais para contribuir e melhorar a segurança do Open-Source Software (OSS) que utilizam em seus produtos. Um exemplo análogo mais recente resultou na divulgação de cinco vulnerabilidades em libxml2.

Análise de causa raiz (RCA) do CVE-2019-11932

Com base na descrição de vulnerabilidades de Awakened,concentrei meus esforços na rotina de decodificação de GIF. Um arquivo GIF é estruturado como um cabeçalho e um descritor lógico de tela, seguidos por um fluxo de registros para cada quadro. Esses registros consistem em um descritor de imagem (largura, altura, posição e paleta), blocos de extensão opcionais (transparência, atrasos etc.) e dados de pixel compactados. Em decoding.c existe uma função, DDGifSlurp, que percorre os fluxos de registros GIF e cria metadados por quadro. Se decode=true, extrai pixels brutos por quadro. Normalmente, os quadros são do mesmo tamanho. Isso faz sentido porque quando você olha para um GIF, vê uma série de quadros sendo executados em loop. Quando os quadros são do mesmo tamanho, a função continuará reutilizando a alocação criada para armazenar o buffer (rasterBits). No entanto, a função lida com casos em que os quadros são de um tamanho diferente, chamando reallocarray para alocar um novo buffer. A função realloc é uma combinação de free e malloc. Se nenhum tamanho for fornecido, o ponteiro será simplesmente liberado.

Commit df309bb - decodificação.c aqui

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame) {
    GifRecordType RecordType;
    GifByteType *ExtData;
    int ExtFunction;
    GifFileType *gifFilePtr;
    gifFilePtr = info->gifFilePtr;
    uint_fast32_t lastAllocatedGCBIndex = 0;

...

if (decode) {
    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr-
->Image.Height;
    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

Se imaginarmos que o primeiro quadro tem algumas dimensões normais,40*10, um buffer de 400 bytes será alocado. O segundo quadro tem algumas dimensões malformadas, 0*20. Nesse caso, o seguinte é verdadeiro:

  • widthOverflow é falso
  • heightOverflow é verdadeiro
  • newRasterSize é 0

Quando o reallocarray é chamado, o tamanho da alocação é calculado como 0*20=0; isso faz com que rasterBits sejam liberados. Se o terceiro quadro tiver dimensões malformadas de forma semelhante, ele liberará o mesmo ponteiro novamente, resultando em uma liberação dupla.

android-gif-drawable

Símbolos

Os símbolos são importantes; eles facilitam a interpretação sobre o que um trecho de código está fazendo. Se você analisar bibliotecas que foram extraídas de um Android Package Kit (APK), elas provavelmente serão desprovidas de símbolos. Em nosso caso particular, para android-gif-drawable, isso não é um problema porque temos acesso ao código-fonte. No entanto, se você precisar fazer engenharia reversa de um binário de código fechado, deve pelo menos aplicar os tipos de Java Native Interface (JNI) para tornar o processo de pesquisa mais direto. Você pode ler uma publicação do @Ch0pin aqui para ter mais informações. No meu caso, estou usando o Binary Ninja e encontrei um arquivo de cabeçalho de tipo funcional que pode ser importado aqui.

Para entender como aplicar os tipos, você pode pesquisar no APK descompilado as declarações nativas. Na captura de tela abaixo, podemos ver algumas das declarações android-gif-drawable do APK em JEB.

captura de tela do bytecode JEB Dalvik
Bytecode JEB Dalvik

Tome como exemplo getFrameDuration:

.method public static native getFrameDuration(J, I)I
.end method

 

Aqui, J é traduzido para jlong e I é traduzido para jint. Observe que a função também tem um tipo de retorno jint. Se combinarmos esses valores com a convenção de chamada padrão para invocação JNI nativa, obteremos o seguinte resultado:

jint getFrameDuration(JNIEnv* env, jclass clazz, jlong arg0, jint arg1)

 

Você pode aplicar alguma automação a este processo (usando androguard, API JEB, etc). Com mapeamentos de tipo adequados, você pode percorrer de forma programática cada classe e aplicar todos os tipos identificados à biblioteca que está analisando.

Extração e aplicação de símbolos JNI em um banco de dados Binary Ninja
Extração e aplicação de símbolos JNI em um banco de dados Binary Ninja

É necessária alguma engenharia para analisar o API, extrair as definições de chamada e aplicá-las em seu descompilador preferido. Esse esforço vale a pena porque reduz a quantidade de trabalho manual e pode fornecer uma visão geral de alto nível do uso da biblioteca nativa no API como um todo.

captura de tela do código nativo descompilado do Binary Ninja
Código nativo descompilado do Binary Ninja
Homem olhando para computador

Fortaleça sua inteligência de segurança  

Fique à frente das ameaças com notícias e insights sobre segurança, IA e outros semanalmente no boletim informativo do Think.  

Fuzzing DDGifSlurp

Como podemos alcançar nossa função-alvo?

A primeira coisa que fiz (já que a biblioteca é de código aberto) foi criar minha própria versão do android-gif-drawable a partir do pacote de lançamento v1.2.17 usando o Android NDK. Em seguida, revisei quais exportações estavam disponíveis no binário:

➜ nm -D lib/libpl_droidsonroids_gif_fixed.so | awk '$3 ~ /^D/ || $3 ~ /^Java_pl_/'
 0000000000006214 T DDGifSlurp
 000000000000ad14 T DGifCloseFile
 000000000000ac58 T DGifExtensionToGCB
 000000000000a91c T DGifGetCodeNext
 000000000000aa68 T DGifGetExtension
 000000000000ab20 T DGifGetExtensionNext
 0000000000009cc0 T DGifGetImageDesc
 000000000000a254 T DGifGetLine
 0000000000009b98 T DGifGetRecordType
 000000000000989c T DGifGetScreenDesc
 0000000000009644 T DGifOpen
 000000000000bb90 T DetachCurrentThread
 000000000000d53c T Java_pl_droidsonroids_gif_GifInfoHandle_bindSurface
 0000000000009314 T
Java_pl_droidsonroids_gif_GifInfoHandle_createTempNativeFileDescriptor
 00000000000091ac T
Java_pl_droidsonroids_gif_GifInfoHandle_extractNativeFileDescriptor
 0000000000006d20 T Java_pl_droidsonroids_gif_GifInfoHandle_free
 000000000000c238 T Java_pl_droidsonroids_gif_GifInfoHandle_getAllocationByteCount
 000000000000bd74 T Java_pl_droidsonroids_gif_GifInfoHandle_getComment
 000000000000c578 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentFrameIndex
 000000000000c528 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentLoop
 000000000000c008 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentPosition
 000000000000bf00 T Java_pl_droidsonroids_gif_GifInfoHandle_getDuration
 000000000000caa4 T Java_pl_droidsonroids_gif_GifInfoHandle_getFrameDuration
 000000000000cbc0 T Java_pl_droidsonroids_gif_GifInfoHandle_getHeight
 000000000000be68 T Java_pl_droidsonroids_gif_GifInfoHandle_getLoopCount
 000000000000c15c T Java_pl_droidsonroids_gif_GifInfoHandle_getMetadataByteCount
 000000000000c4d4 T Java_pl_droidsonroids_gif_GifInfoHandle_getNativeErrorCode
 000000000000cc14 T Java_pl_droidsonroids_gif_GifInfoHandle_getNumberOfFrames
 000000000000c5cc T Java_pl_droidsonroids_gif_GifInfoHandle_getSavedState
 000000000000bfb4 T Java_pl_droidsonroids_gif_GifInfoHandle_getSourceLength
 000000000000cb6c T Java_pl_droidsonroids_gif_GifInfoHandle_getWidth
 000000000000cc68 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexImage2D
 000000000000cd50 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexSubImage2D
 000000000000ce38 T Java_pl_droidsonroids_gif_GifInfoHandle_initTexImageDescriptor
 000000000000bde4 T Java_pl_droidsonroids_gif_GifInfoHandle_isAnimationCompleted
 000000000000cb10 T Java_pl_droidsonroids_gif_GifInfoHandle_isOpaque
 00000000000084cc T Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
 00000000000087a4 T Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
 0000000000008278 T Java_pl_droidsonroids_gif_GifInfoHandle_openFile
 0000000000009340 T Java_pl_droidsonroids_gif_GifInfoHandle_openNativeFileDescriptor
 0000000000008ab8 T Java_pl_droidsonroids_gif_GifInfoHandle_openStream
 000000000000e354 T Java_pl_droidsonroids_gif_GifInfoHandle_postUnbindSurface
 00000000000057dc T Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame
 000000000000597c T Java_pl_droidsonroids_gif_GifInfoHandle_reset
 000000000000611c T Java_pl_droidsonroids_gif_GifInfoHandle_restoreRemainder
 000000000000c9d8 T Java_pl_droidsonroids_gif_GifInfoHandle_restoreSavedState
 000000000000603c T Java_pl_droidsonroids_gif_GifInfoHandle_saveRemainder
 0000000000005f6c T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrame
 000000000000d4d0 T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrameGL
 0000000000005ccc T Java_pl_droidsonroids_gif_GifInfoHandle_seekToTime
 000000000000beb8 T Java_pl_droidsonroids_gif_GifInfoHandle_setLoopCount
 000000000000b948 T Java_pl_droidsonroids_gif_GifInfoHandle_setOptions
 00000000000059e4 T Java_pl_droidsonroids_gif_GifInfoHandle_setSpeedFactor
 000000000000cfa0 T Java_pl_droidsonroids_gif_GifInfoHandle_startDecoderThread
 000000000000d374 T Java_pl_droidsonroids_gif_GifInfoHandle_stopDecoderThread

 

Essa é uma informação útil porque sabemos que podemos chamar DDGifSlurp diretamente e também podemos ver o conjunto de funções exportadas para JNI. Se olharmos novamente para o DDGifSlurp, veremos que o primeiro argumento é um ponteiro para um tipo complexo, GifInfo.

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame)

 

Commit do df309bb - gif.h aqui

struct GifInfo {
    void (*destructor)(GifInfo *, JNIEnv *);
    GifFileType *gifFilePtr;
    GifWord originalWidth, originalHeight;
    uint_fast16_t sampleSize;
    long long lastFrameRemainder;
    long long nextStartTime;
    uint_fast32_t currentIndex;
    GraphicsControlBlock *controlBlock;
    argb *backupPtr;
    long long startPos;
    unsigned char *rasterBits;
    uint_fast32_t rasterSize;
    char *comment;
    uint_fast16_t loopCount;
    uint_fast16_t currentLoop;
    RewindFunc rewindFunction;
    jfloat speedFactor;
    uint32_t stride;
    jlong sourceLength;
    bool isOpaque;
    void *frameBufferDescriptor;
};

 

Poderíamos criar manualmente um objeto GifInfo falso; no entanto, o objeto é muito grande e é uma composição de outros tipos complexos (como GifFileType). Em vez disso, faz mais sentido investigar as outras funções nativas para ver como os objetos GifInfo geralmente são criados. Podemos encontrar de forma rápida alguns candidatos em potencial.

Commit do df309bb - gif.c aqui

Java_pl_droidsonroids_gif_GifInfoHandle_openFile
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
Java_pl_droidsonroids_gif_GifInfoHandle_openStream

 

Dentre essas, as variantes de byte parecem ter a menor sobrecarga; em particular, openByteArray exige apenas que criemos um objeto jbyteArray , o que podemos fazer facilmente em C.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, jclass __unused
class, jbyteArray bytes) {
    if (isSourceNull(bytes, env)) {
        return NULL_GIF_INFO;
    }
    ByteArrayContainer *container = malloc(sizeof(ByteArrayContainer));
    if (container == NULL) {
        throwException(env, OUT_OF_MEMORY_ERROR, OOME_MESSAGE);
        return NULL_GIF_INFO;
    }
    container->buffer = (*env)->NewGlobalRef(env, bytes);
    if (container->buffer == NULL) {
        free(container);
        throwException(env, RUNTIME_EXCEPTION_BARE, "NewGlobalRef failed");
        return NULL_GIF_INFO;
    }
    container->length = (unsigned int) (*env)->GetArrayLength(env, container->buffer);
    container->position = 0;
    GifSourceDescriptor descriptor = {
            .rewindFunc = byteArrayRewind,
            .sourceLength = container->length
    };
    descriptor.GifFileIn = DGifOpen(container, &byteArrayRead, &descriptor.Error);
    descriptor.startPos = container->position;

    GifInfo *info = createGifInfo(&descriptor, env);

    if (info == NULL) {
        (*env)->DeleteGlobalRef(env, container->buffer);
        free(container);
    }
    return (jlong) (intptr_t) info;
}

 

Note que o objeto GifInfo em si é criado pelo createGifInfo.

Commit df309bb - init.c aqui

GifInfo *createGifInfo(GifSourceDescriptor *descriptor, JNIEnv *env) {
    if (descriptor->startPos < 0) {
        descriptor->Error = D_GIF_ERR_NOT_READABLE;
    }
    if (descriptor->Error != 0 || descriptor->GifFileIn == NULL) {
        bool readErrno = descriptor->rewindFunc == fileRewind && (descriptor->Error ==
D_GIF_ERR_NOT_READABLE || descriptor->Error == D_GIF_ERR_READ_FAILED);
        throwGifIOException(descriptor->Error, env, readErrno);
        DGifCloseFile(descriptor->GifFileIn);
        return NULL;
    }

    GifInfo *info = malloc(sizeof(GifInfo));

...

    DDGifSlurp(info, false, false);
    info->rasterBits = NULL;
    info->rasterSize = 0;
    info->originalHeight = info->gifFilePtr->SHeight;
    info->originalWidth = info->gifFilePtr->SWidth;

...

No trecho de código acima, é possível ver que a função de inicialização também chama DDGifSlurp, mas não consegue acionar o código vulnerável porque decode=false. Definir esse sinalizador como false aciona o caso isInitialPass no DDGifSlurp, que registra apenas metadados por quadro sem analisar os quadros.

Neste ponto, temos um bom entendimento de como chamar o caminho do código vulnerável e podemos montar uma série de chamadas para chegar à função que queremos testar por meio de fuzzing.

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ DDGifSlurp

 

No entanto, estamos perdendo dois elementos aqui. Primeiro, se criarmos milhares dessas cadeias de chamadas, ficaremos sem memória e travaremos nosso harness, por isso precisamos liberar todos os recursos que criarmos. Para isso, podemos usar outra das funções exportadas pelo JNI.

Commit df309bb - dispose.c here

Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass __unused handleClass, jlong gifInfo)

 

O segundo elemento ausente é muito menos óbvio. Quando o DDGifSlurp inicializa o GIF, ele percorre a lista de quadros, modificando o objeto GifInfo à medida que avança. Antes de podermos processar o GIF novamente, precisamos retorná-lo ao seu estado inicial. Isso redefine nossa posição no ByteArrayContainer para a posição inicial e redefine algumas propriedades do objeto GifInfo, como pode ser visto abaixo.

Commit df309bb - controle.c aqui

bool reset(GifInfo *info) {
    if (info->rewindFunction(info) != 0) {
        return false;
    }
    info->nextStartTime = 0;
    info->currentLoop = 0;
    info->currentIndex = 0;
    info->lastFrameRemainder = -1;
    return true;
}

__unused JNIEXPORT jboolean JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *__unused  env, jclass  __unused
class, jlong gifInfo) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info != NULL && reset(info)) {
        return JNI_TRUE;
    }
    return JNI_FALSE;
}

 

Nossa cadeia de chamadas final fica assim:

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ Java_pl_droidsonroids_gif_GifInfoHandle_reset
     |_ DDGifSlurp
       |_ Java_pl_droidsonroids_gif_GifInfoHandle_free

Testando nossas hipóteses

Podemos criar um binário de teste que pegará um GIF do disco e o transmitirá por nossa cadeia de chamadas. Observe que incluímos um arquivo de cabeçalho jenv (obtido nesta postagem do Quarkslab) e também incluímos o cabeçalho gif diretamente da própria biblioteca android-gif-drawable.

Normalmente, para fuzzing, estaríamos em um dos três cenários:

  • Estamos realizando fuzzing em código de biblioteca nativa pura; não temos dependências.
  • Temos uma dependência do JNINativeInterface (JNIEnv), mas podemos criar manualmente todos os argumentos da função que precisamos para chamar nosso código nativo (por exemplo, jbyteArray).
  • Temos uma dependência de algum objeto Java complexo que não podemos criar em C. Neste caso, devemos carregar o API ou uma classe Java compilada de forma personalizada para construir nossos argumentos.

No nosso caso, o openByteArray tem um protótipo bastante simples, então estamos nessa segunda categoria, em que conseguimos criar os argumentos da função a partir do C sem dependências adicionais.

#include <errno.h>
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <stdbool.h>
#include <string.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

/* JNI symbols we call directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, class
clazz, jbyteArray bytes);
extern void  Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass clazz,
jlong gifInfo);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *env, class
clazz, jlong gifInfo);
extern jint JNI_OnLoad(JavaVM *vm, void *reserved);

static JavaCTX ctx;

/**
 * read_file - read an entire file into a memory buffer
 * @path: path to the input file
 * @out_len: pointer to size_t where the number of bytes read will be stored
 * Returns a pointer to the data, or NULL on error.
 * Caller is responsible for freeing the returned buffer.
 */
static uint8_t *read_file(const char *path, size_t *out_len) {
    FILE *f = fopen(path, "rb");
    if (!f) return NULL;
    fseek(f, 0, SEEK_END);
    long sz = ftell(f);
    rewind(f);
    if (sz <= 0) { fclose(f); return NULL; }
    uint8_t *buf = malloc((size_t)sz);
    if (!buf) { fclose(f); return NULL; }
    if (fread(buf, 1, (size_t)sz, f) != (size_t)sz) { free(buf); fclose(f); return
NULL; }
    fclose(f);
    *out_len = (size_t)sz;
    return buf;
}

/**
 * main - read a GIF file, run DDGifSlurp to trigger CVE-2019-11932, and print results
 * @argc: number of command-line arguments
 * @argv: argument vector, expects GIF file path as argv[1]
 * Returns exit code, 0 on success, non-zero on error
 */
int main(int argc, char *argv[]) {
    if (argc != 2) {
        fprintf(stderr, "Usage: %s <gif_path>\n", argv[0]);
        return 1;
    }
    const char *input_path = argv[1];
    /* 1. Read GIF from disk */
    size_t len = 0;
    uint8_t *data = read_file(input_path, &len);
    if (!data) {
        fprintf(stderr, "[-] Failed to read %s\n", input_path);
        return 1;
    }


    /* 2. Initialize Java VM without custom options */
    if (init_java_env(&ctx, NULL, 0) != 0) {
        fprintf(stderr, "[-] init_java_env failed\n");
        free(data);
        return 1;
    }

    /* get JNIEnv */
    JNIEnv *e = ctx.env;

    /* 3. Ensure GIF library's JNI_OnLoad runs to set up g_jvm */
    JNI_OnLoad(ctx.vm, NULL);

    /* 4. Single open-decode-free cycle */

    /* Create Java byte[] */
    jbyteArray arr = (*e)->NewByteArray(e, (jsize)len);
    if (!arr) {
        fprintf(stderr, "[-] NewByteArray failed\n");
        free(data);
        return 1;
    }
    (*e)->SetByteArrayRegion(e, arr, 0, (jsize)len, (const jbyte *)data);

    /* open */
    jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(e, NULL, arr);
    (*e)->DeleteLocalRef(e, arr);
    if ((*e)->ExceptionCheck(e) || gptr == 0) {
        fprintf(stderr, "[-] openByteArray failed\n");
        (*e)->ExceptionClear(e);
        free(data);
        return 1;
    }

    /* rewind */
    Java_pl_droidsonroids_gif_GifInfoHandle_reset(e, NULL, gptr);

    /* decode (vulnerable) */
    DDGifSlurp((GifInfo *)(intptr_t)gptr, true, false);

    /* print some info */
    GifInfo *info = (GifInfo *)(intptr_t)gptr;
    printf("[+] GifInfo at %p: %lu x %lu, %lu frames, loop %lu, error %d\n",
           (void*)info,
           (unsigned long)info->originalWidth,
           (unsigned long)info->originalHeight,
           (unsigned long)info->gifFilePtr->ImageCount,
           (unsigned long)info->loopCount,
           (int)info->gifFilePtr->Error);

    /* free */
    Java_pl_droidsonroids_gif_GifInfoHandle_free(e, NULL, gptr);
    (*e)->ExceptionClear(e);
    free(data);
    return 0;
}

O código acima vai ler uma imagem do disco, inicializar a Java Virtual Machine (JVM), criar um jbyteArray e passar a imagem através da nossa cadeia de chamadas. No final, exibimos algumas propriedades do objeto GifInfo para que possamos obter alguns metadados e confirmar que o código foi executado até o fim sem erros. Mais tarde, podemos usar esse binário de teste para depurar qualquer falha que encontrarmos.

captura de tela da execução do teste DDGifSlurp
Execução do teste DDGifSlurp

Construindo um harness

Superada a parte difícil, podemos criar um ambiente harness de fuzzing envolvendo o código de teste em algum boilerplate do AFL++ . Na main, inicializamos o Java VM e criamos uma função que recebe um array de bytes como entrada. Essa função, fuzz_one_input, executará todas as ações necessárias para percorrer nossa cadeia de chamadas uma vez com o input fornecido. Usaremos o Frida para vincular essa função, de modo que o AFL possa enviar inputs para ela e coletar cobertura.

#include <errno.h>
#include <stdio.h>
#include <stdint.h>
#include <jni.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

#define BUFFER_SIZE 65536

/* JNI symbols we invoke directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *, class,
jbyteArray);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *, class,
jlong);
extern void Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *, jclass, jlong);
extern jint JNI_OnLoad(JavaVM *, void *);

static JavaCTX ctx;

/*
 * fuzz_one_input – entry used by Frida-AFL persistent mode.
 * Creates a GifInfo from the fuzz data, rewinds the stream, runs a full
 * decode with DDGifSlurp, then frees the structure.
 */
__attribute__((visibility("default")))
void fuzz_one_input(const uint8_t *data, size_t len) {
  JNIEnv *env = ctx.env;
  if (len < 6) return; /* need at least GIF header */

  /* Create Java byte[] */
  jbyteArray arr = (*env)->NewByteArray(env, (jsize)len);
  if (!arr) return;
  (*env)->SetByteArrayRegion(env, arr, 0, (jsize)len, (const jbyte *)data);

  /* GifInfoHandle.openByteArray */
  jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(env, NULL, arr);
  (*env)->DeleteLocalRef(env, arr);
  if ((*env)->ExceptionCheck(env) || gptr == 0) {
    (*env)->ExceptionClear(env);
    return;
  }

  /* Rewind so decode starts at offset 0 */
  Java_pl_droidsonroids_gif_GifInfoHandle_reset(env, NULL, gptr);

  /* Full decode – this is where CVE-2019-11932 triggers */
  GifInfo *info = (GifInfo *)(intptr_t)gptr;
  DDGifSlurp(info, true, false);

  /* Cleanup */
  Java_pl_droidsonroids_gif_GifInfoHandle_free(env, NULL, gptr);
  (*env)->ExceptionClear(env);
}

/**
 * main - AFL-Frida fuzzing harness entry point
 *
 * Reads up to BUFFER_SIZE bytes from stdin, initializes the Java VM,
 * invokes fuzz_one_input for persistent-mode decoding, and exits.
 *
 * Return: 0 on success (no crash or crash handled by AFL),
 *         non-zero on initialization or read error.
 */
int main(void) {
  uint8_t buffer[BUFFER_SIZE];
  ssize_t rlen = fread(buffer, 1, sizeof buffer, stdin);
  if (rlen == -1) return errno;

  /* Start JVM with default options */
  if (init_java_env(&ctx, NULL, 0) != 0) return 1;

  /* Ensure gif library initialises its global JVM pointer */
  JNI_OnLoad(ctx.vm, NULL);

  fuzz_one_input(buffer, (size_t)rlen);
  return 0;
}

 

O pequeno script Frida abaixo permite que o AFL++ envie entradas para o harness. Ele injeta um pequeno C-hook que copia cada caso de teste do AFL diretamente no buffer de entrada da função, diz ao AFL++ exatamente onde reiniciar em cada iteração e aproveita a instrumentação do Frida para coletar a cobertura.

Afl.print(`[*] Starting FRIDA config for PID: ${Process.id}`);

// Modules to be instrumented by Frida
const MODULE_WHITELIST = [
  "fuzz_DDGifSlurp",
  "libpl_droidsonroids_gif_fixed.so",
];

// Persistent hook
const hook_module = new CModule(`
  #include <string.h>
  #include <gum/gumdefs.h>

  #define BUF_LEN 65536

  void afl_persistent_hook(GumCpuContext *regs, uint8_t *input_buf,
    uint32_t input_buf_len) {

    uint32_t length = (input_buf_len > BUF_LEN) ? BUF_LEN : input_buf_len;
    memcpy((void *)regs->x[0], input_buf, length);
    regs->x[1] = length;
  }
  `,
  {
    memcpy: Module.getExportByName(null, "memcpy")
  }
);

// Persistent loop start address
const pPersistentAddr = DebugSymbol.fromName("fuzz_one_input").address;

// Exclude from instrumentation
Module.load("libandroid_runtime.so");
new ModuleMap().values().forEach(m => {
  if (!MODULE_WHITELIST.includes(m.name)) {
    Afl.print(`Exclude: ${m.base}-${m.base.add(m.size)} ${m.name}`);
    Afl.addExcludedRange(m.base, m.size);
  }
});

Afl.setEntryPoint(pPersistentAddr);
Afl.setPersistentHook(hook_module.afl_persistent_hook);
Afl.setPersistentAddress(pPersistentAddr);
Afl.setPersistentCount(3000); // Limit how many iterations before reinitializing
                              // the environment
Afl.setInMemoryFuzzing();
Afl.setInstrumentLibraries();
Afl.done();
Afl.print("[*] All done!");

Finalmente podemos começar a testar o fuzzing no telefone.

panther: # su
panther: # cd /sys/devices/system/cpu
panther:/sys/devices/system/cpu # echo performance | tee cpu*/cpufreq/scaling_governor
performance
panther:/sys/devices/system/cpu # cd /data/local/tmp/whatsapp
panther:/data/local/tmp/whatsapp # ./afl-fuzz -O -G 4096 -i in -o out
./fuzz_DDGifSlurp

 

Deixei o fuzzer rodando por cerca de 7 horas antes de encerrar o processo. Podemos ver na produção do AFL abaixo que executamos mais de 200 milhões de casos de teste e registramos 29,1 mil falhas, das quais 42 foram salvas. O AFL aplica algumas heurísticas com base no tipo de sinal, no endereço de falha e nos edges do mapa de cobertura para determinar se uma falha é suficientemente interessante para ser mantida. Isso não significa que cada um desses acidentes seja único.

captura de tela de fuzzing no dispositivo com AFL++
Fuzzing no dispositivo com AFL++

Triagem de falhas

Se quisermos priorizar as falhas, podemos aprimorar a biblioteca vulnerável adicionando algumas instruções de exibição adicionais que nos darão mais insights sobre o que acontece dentro da condição de decodificação do DDGifSlurp .

if (decode) {
    // Print raw values used in calculations
    printf("[DEBUG] Image.Width=%u, Image.Height=%u, originalWidth=%u,
originalHeight=%u, currentRasterSize=%u\n",
           (unsigned)gifFilePtr->Image.Width,
           (unsigned)gifFilePtr->Image.Height,
           (unsigned)info->originalWidth,
           (unsigned)info->originalHeight,
           (unsigned)info->rasterSize);

    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr->Image.Height;

    // Pretty-print computed overflow and new raster size
    printf("[DEBUG] widthOverflow=%d, heightOverflow=%d, newRasterSize=%u\n",
           (int)widthOverflow,
           (int)heightOverflow,
           (unsigned)newRasterSize);

    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

Para nossa conveniência, também podemos recompilar o test_DDGifSlurp com ASan, o que nos fornecerá informações mais detalhadas sobre o que deu errado no tempo de execução, sem necessariamente ter que mergulhar no LLBD imediatamente.

➜  cmake \                                                          
    -DANDROID_PLATFORM=31 \
     -DCMAKE_TOOLCHAIN_FILE=/opt/homebrew/share/android-ndk/build/cmake/android.toolchain.cmake \
     -DANDROID_ABI=arm64-v8a \
     -DANDROID_ENABLE_ASAN=ON \
     -DCMAKE_BUILD_TYPE=Debug \
     -DCMAKE_C_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_CXX_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_SHARED_LINKER_FLAGS="-fsanitize=address" \
     -DCMAKE_EXE_LINKER_FLAGS="-fsanitize=address" \
     .
 ➜  make

 

Existem algumas variações desta vulnerabilidade que podem ser acionadas dependendo do tamanho e da composição dos quadros GIF.

captura de tela do android-gif-drawable DDGifSlurp double-free
android-gif-drawable DDGifSlurp double-free

Neste exemplo, podemos ver uma variação que é quase idêntica à que Awakened apresenta em sua postagem no blog.

  • Estado Inicial: originalWidth tem valor de 16697, e originalHeight tem valor de 65530.
  • Frame 0: Image.Width tem um valor de 32768, que é maior que originalWidth. Por causa disso, acionamos o reallocarray. No entanto, como Image.Height tem um valor de 0, o rasterSize final se torna 32768*0 = 0. Devido ao comportamento interno do reallocarray, em vez disso, liberamos o ponteiro, deixamos a referência oscilante e interrompemos.
  • Frame 1: Image.Width tem um valor de 65535, novamente maior que originalWidth e Image.Height é novamente 0, resultando no mesmo comportamento, e liberamos o mesmo ponteiro novamente, acionando ASan.

Conclusão

Parsers são obviamente difíceis de implementar corretamente, e é fácil cometer erros ou ter suposições incompatíveis sobre quais dados o parser irá processar. Essa vulnerabilidade foi muito fácil de redescobrir usando o nosso harness. Na verdade, o primeiro acidente foi relatado apenas alguns minutos após o início da execução.

Nos casos em que esses tipos de bibliotecas são incluídos em aplicações altamente críticas para a segurança, como aplicativos de mensagens, elas devem ser submetidas a extensos testes manuais e automatizados. Se os engenheiros de aplicações não validarem o código da biblioteca, é claro que os pesquisadores o farão (e eles podem ou não relatar suas descobertas, sem julgamentos).

Adendo

Esse bug foi relatado e corrigido em 2019, mas eu estava curioso e fiz uma investigação no histórico de problemas do repositório. Para minha surpresa, encontrei um problema de 2016 que estava encerrado devido à inatividade, que quase certamente está relacionado à mesma vulnerabilidade.

captura de tela de uma falha do GitHub renderFrame
Falha no GitHub renderFrame

O usuário relata uma falha do Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame, que é a maneira típica como a biblioteca usa a chamada DDGifSlurp vulnerável. No nosso harness, não chamamos essa função porque:

  • Teríamos que criar um objeto Java Bitmap, seja para cada iteração ou reutilizando um único objeto com alguns truques.
  • Para cada iteração do fuzzing, precisaríamos bloquear e desbloquear pixels.

Essas ações exigem muito poder computacional se as executarmos milhares de vezes por segundo, e não precisamos delas para exercer a função vulnerável.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame(JNIEnv *env, jclass __unused
handleClass, jlong gifInfo, jobject jbitmap) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info == NULL)
        return -1;

    long renderStartTime = getRealTime();
    void *pixels;
    if (lockPixels(env, jbitmap, info, &pixels) != 0) {
        return 0;
    }
    DDGifSlurp(info, true, false);
    if (info->currentIndex == 0) {
        prepareCanvas(pixels, info);
    }
    const uint_fast32_t frameDuration = getBitmap(pixels, info);
    unlockPixels(env, jbitmap);
    return calculateInvalidationDelay(info, renderStartTime, frameDuration);
}

 

Espero que muitos pesquisadores da comunidade de pesquisa de vulnerabilidade (VR) estejam monitorando problemas abertos e fechados do GitHub de bibliotecas de código aberto que são carregadas por aplicações sensíveis. Considerando a visibilidade do WhatsApp como alvo de ataques, é improvável que eu seja o primeiro a analisar esse problema específico, e outros, na biblioteca android-gif-drawable. Eu não ficaria surpreso se esse bug fosse conhecido antes de 2019.

Referências

1. How a double-free bug in WhatsApp turns to RCE - aqui

  • Postagem do blog do Awakened, em que eles descrevem a vulnerabilidade e o método de invasão. O pesquisador tem outros artigos interessantes em seu blog, mas, estranhamente, não há novas publicações depois da postagem sobre a vulnerabilidade do WhatsApp. Tenho certeza de que um dos laboratórios de pesquisa garantiu um excelente reforço para sua equipe!

2. Patched GIF Processing Vuln Still Affects Mobile Apps - aqui

  • Uma análise muito boa da Trend Micro, em que eles também analisam o impacto em outras aplicações Android que executam versões desatualizadas da biblioteca.

3. Android greybox fuzzing with AFL++ Frida mode - aqui

  • Fundamentos básicos sobre o fuzzing de funções JNI em diferentes configurações: nativa, com vínculo fraco e com vínculo forte. Escrito por Eric Le Guevel @quarkslab.

4. Fuzzing Redux, leveraging AFL++ Frida-Mode on Android native libraries - aqui

  • Este é um post que escrevi em 2024, que fornece mais informações sobre o AFL++ Frida-Mode, incluindo detalhes de compilação e exemplos de uso.

5. android-gif-drawable - aqui

  • The latest vulnerable library version v1.2.17 aqui
Mixture of Experts | 12 de dezembro, episódio 85

Decodificando a IA: resumo semanal das notícias

Participe do nosso renomado painel de engenheiros, pesquisadores, líderes de produtos e outros enquanto filtram as informações sobre IA para trazerem a você as mais recentes notícias e insights sobre IA.
Veja todos os episódios de Mixture of Experts
Soluções relacionadas
Serviços de gerenciamento de ameaças

Preveja, previna e responda às ameaças modernas aumentando a resiliência dos negócios.

 

 Saiba mais sobre os serviços de gerenciamento de ameaças
Soluções de detecção e resposta a ameaças

Use as soluções de detecção e resposta a ameaças da IBM para fortalecer sua segurança e acelerar a detecção de ameaças.

 Explore as soluções de detecção de ameaças
Soluções para defesa contra ameaças móveis (MTD)

Proteja seu ambiente móvel com as soluções abrangentes de defesa contra ameaças móveis do IBM MaaS360.

 Conheça as soluções de defesa contra ameaças móveis
Dê o próximo passo

Tenha soluções abrangentes de gerenciamento de ameaças, protegendo habilmente a sua empresa contra os ataques cibernéticos.

 Saiba mais sobre os serviços de gerenciamento de ameaças Agende um briefing centrado em ameaças