标签
安全

重现价值百万美元的漏洞：WhatsApp CVE-2019-11932（使用 AFL 和 Frida）

一位女士手拿智能手机，在黄色衬衫前发短信的特写

作者

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

简介

本文既是对 WhatsApp 所用图像处理库中双重释放漏洞（CVE-2019-11932）的分析，也可作为在 Android 平台模糊测试原生库时开发设备端测试工具的参考。我最初是通过阅读漏洞披露者 Awakened 研究博客了解到此漏洞。原作者未详述漏洞发现过程，而我想了解重新发现该漏洞的难度。正如我们将要看到的，该漏洞本身相对浅显，使用AFL++对漏洞库进行模糊测试即可轻松复现。

此 CVE 之所以特别值得关注，是因为漏洞库代码（android-gif-drawable < v1.2.18 版本）可通过向目标发送畸形 GIF 文件远程触发。该利用条件虽不完美——需要目标执行手动操作（如打开 WhatsApp 图片库），且仅能作为包含信息泄露、权限提升等额外漏洞的大型利用链的环节，但此类漏洞因可能提供极高情报价值而极为稀有且昂贵。此案例也说明，应用程序审核其代码库所包含的库文件至关重要。大型企业或许应为其产品中使用的开源软件（OSS）安全改进做出更多贡献。近期类似的案例是libxml2 库五个漏洞的披露。

CVE-2019-11932 根本原因分析 (RCA)

根据Awakened的漏洞分析报告，我重点关注了GIF解码例程。GIF 文件结构由文件头、逻辑屏幕描述符及逐帧记录流组成。这些记录包含图像描述符（宽度、高度、位置与调色板）、可选扩展块（透明度、延时等）以及压缩的像素数据。在 decode.c 文件的DDGifSlurp函数中，程序会遍历 GIF 记录流并逐帧构建元数据。若decode=true，函数将提取每帧原始像素数据。通常所有帧尺寸相同。这符合我们对 GIF 动画的认知：一系列帧在循环中播放。当帧尺寸相同时，函数会持续复用已创建的缓冲区（rasterBits）分配内存。但函数确实通过调用reallocarray来分配新缓冲区，以处理不同尺寸帧的情况。realloc函数实质是freemalloc功能的结合体。若未提供尺寸参数，该函数仅会释放指针。

提交 df309bb - decoding.c（此处）

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame) {
    GifRecordType RecordType;
    GifByteType *ExtData;
    int ExtFunction;
    GifFileType *gifFilePtr;
    gifFilePtr = info->gifFilePtr;
    uint_fast32_t lastAllocatedGCBIndex = 0;

...

if (decode) {
    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr-
->Image.Height;
    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

假设第一帧图像具有标准尺寸（40×10 像素），则会分配一个 400 字节的缓冲区；第二帧图像存在畸形尺寸0×20 像素），此时满足以下条件：

  • widthOverflowfalse
  • heightOverflowtrue
  • newRasterSize0

调用 realocarray 时，分配尺寸的计算方式为 0*20=0；这会导致 rasterBits 被释放。如果第三帧有类似的畸形尺寸，则会再次释放相同的指针，从而产生双重释放

android-gif-drawable

符号

符号信息至关重要，它能大幅降低代码功能的解读难度。若你分析的是从 Android 安装包 (APK) 中提取的库文件，这些文件大概率已被剥离符号信息。就我们研究的 android-gif-drawable 库而言，这一问题并不存在，因为我们能够获取其源代码。但如果你需要对闭源二进制文件进行逆向分析，至少应标注 Java 本地接口 (JNI) 类型，以此简化研究流程。你可阅读 @Ch0pin 发布的一篇博文（此处），以了解更多相关背景知识。而在我的研究中，我使用的是 Binary Ninja 逆向分析工具，且找到了一个可导入使用的有效类型头文件（此处）。

为理解如何应用类型定义，可在反编译的 APK 中搜索原生函数声明。在下面的屏幕截图中，我们可以在 JEB 中看到 APK 的一些 Android-GIF-Drawable 声明。

JEB Dalvik 字节码屏幕截图
JEB Dalvik 字节码

getFrameDuration 为例：

.method public static native getFrameDuration(J, I)I
.end method

 

此处，符号 J 对应的数据类型为 JNI 长整型，符号 I 对应的数据类型 JNI 整型。需注意该函数的返回类型同样为 JNI 整型。若我们将这些值与 JNI 原生方法调用的标准相结合，最终可得到如下结果：

jint getFrameDuration(JNIEnv* env, jclass clazz, jlong arg0, jint arg1)

 

您可以在此流程中应用一些自动化功能（使用 androguard、JEB API 等）。通过建立正确的类型映射，您可以通过编程方式遍历每个类，并将所有识别的类型应用于您正在分析的库。

提取 JNI 符号并应用于 Binary Ninja 数据库
提取 JNI 符号并应用于 Binary Ninja 数据库

需要一定工程化处理来解析 APK、提取调用定义，并在首选反编译器中应用这些信息。这项投入是值得的，因为它能减少手动工作量，并提供 APK 中整体原生库使用情况的高层概览。

Binary Ninja 反编译原生代码的屏幕截图
Binary Ninja 反编译原生代码
男子正在看电脑

增强安全情报 

每周在 Think 时事通讯中获取有关安全、AI 等的新闻和洞察分析，从而预防威胁。

DDGifSlurp 函数模糊测试

我们该如何定位目标函数？

我做的第一件事（由于该库为开源项目）是基于 v1.2.17 版本发布包，通过 Android NDK 编译出我自己的 android-gif-drawable 库版本。随后，我核查了该二进制文件中暴露的导出符号：

➜ nm -D lib/libpl_droidsonroids_gif_fixed.so | awk '$3 ~ /^D/ || $3 ~ /^Java_pl_/'
 0000000000006214 T DDGifSlurp
 000000000000ad14 T DGifCloseFile
 000000000000ac58 T DGifExtensionToGCB
 000000000000a91c T DGifGetCodeNext
 000000000000aa68 T DGifGetExtension
 000000000000ab20 T DGifGetExtensionNext
 0000000000009cc0 T DGifGetImageDesc
 000000000000a254 T DGifGetLine
 0000000000009b98 T DGifGetRecordType
 000000000000989c T DGifGetScreenDesc
 0000000000009644 T DGifOpen
 000000000000bb90 T DetachCurrentThread
 000000000000d53c T Java_pl_droidsonroids_gif_GifInfoHandle_bindSurface
 0000000000009314 T
Java_pl_droidsonroids_gif_GifInfoHandle_createTempNativeFileDescriptor
 00000000000091ac T
Java_pl_droidsonroids_gif_GifInfoHandle_extractNativeFileDescriptor
 0000000000006d20 T Java_pl_droidsonroids_gif_GifInfoHandle_free
 000000000000c238 T Java_pl_droidsonroids_gif_GifInfoHandle_getAllocationByteCount
 000000000000bd74 T Java_pl_droidsonroids_gif_GifInfoHandle_getComment
 000000000000c578 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentFrameIndex
 000000000000c528 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentLoop
 000000000000c008 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentPosition
 000000000000bf00 T Java_pl_droidsonroids_gif_GifInfoHandle_getDuration
 000000000000caa4 T Java_pl_droidsonroids_gif_GifInfoHandle_getFrameDuration
 000000000000cbc0 T Java_pl_droidsonroids_gif_GifInfoHandle_getHeight
 000000000000be68 T Java_pl_droidsonroids_gif_GifInfoHandle_getLoopCount
 000000000000c15c T Java_pl_droidsonroids_gif_GifInfoHandle_getMetadataByteCount
 000000000000c4d4 T Java_pl_droidsonroids_gif_GifInfoHandle_getNativeErrorCode
 000000000000cc14 T Java_pl_droidsonroids_gif_GifInfoHandle_getNumberOfFrames
 000000000000c5cc T Java_pl_droidsonroids_gif_GifInfoHandle_getSavedState
 000000000000bfb4 T Java_pl_droidsonroids_gif_GifInfoHandle_getSourceLength
 000000000000cb6c T Java_pl_droidsonroids_gif_GifInfoHandle_getWidth
 000000000000cc68 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexImage2D
 000000000000cd50 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexSubImage2D
 000000000000ce38 T Java_pl_droidsonroids_gif_GifInfoHandle_initTexImageDescriptor
 000000000000bde4 T Java_pl_droidsonroids_gif_GifInfoHandle_isAnimationCompleted
 000000000000cb10 T Java_pl_droidsonroids_gif_GifInfoHandle_isOpaque
 00000000000084cc T Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
 00000000000087a4 T Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
 0000000000008278 T Java_pl_droidsonroids_gif_GifInfoHandle_openFile
 0000000000009340 T Java_pl_droidsonroids_gif_GifInfoHandle_openNativeFileDescriptor
 0000000000008ab8 T Java_pl_droidsonroids_gif_GifInfoHandle_openStream
 000000000000e354 T Java_pl_droidsonroids_gif_GifInfoHandle_postUnbindSurface
 00000000000057dc T Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame
 000000000000597c T Java_pl_droidsonroids_gif_GifInfoHandle_reset
 000000000000611c T Java_pl_droidsonroids_gif_GifInfoHandle_restoreRemainder
 000000000000c9d8 T Java_pl_droidsonroids_gif_GifInfoHandle_restoreSavedState
 000000000000603c T Java_pl_droidsonroids_gif_GifInfoHandle_saveRemainder
 0000000000005f6c T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrame
 000000000000d4d0 T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrameGL
 0000000000005ccc T Java_pl_droidsonroids_gif_GifInfoHandle_seekToTime
 000000000000beb8 T Java_pl_droidsonroids_gif_GifInfoHandle_setLoopCount
 000000000000b948 T Java_pl_droidsonroids_gif_GifInfoHandle_setOptions
 00000000000059e4 T Java_pl_droidsonroids_gif_GifInfoHandle_setSpeedFactor
 000000000000cfa0 T Java_pl_droidsonroids_gif_GifInfoHandle_startDecoderThread
 000000000000d374 T Java_pl_droidsonroids_gif_GifInfoHandle_stopDecoderThread

 

这些信息非常实用：我们既可直接调用 DDGifSlurp 函数，也能查看 JNI 导出函数集合。如果我们再次查看 DDGifSlurp ，我们会发现第一个参数是指向复杂类型 GifInfo 的指针。

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame)

 

提交df309bb - gif.h（此处）

struct GifInfo {
    void (*destructor)(GifInfo *, JNIEnv *);
    GifFileType *gifFilePtr;
    GifWord originalWidth, originalHeight;
    uint_fast16_t sampleSize;
    long long lastFrameRemainder;
    long long nextStartTime;
    uint_fast32_t currentIndex;
    GraphicsControlBlock *controlBlock;
    argb *backupPtr;
    long long startPos;
    unsigned char *rasterBits;
    uint_fast32_t rasterSize;
    char *comment;
    uint_fast16_t loopCount;
    uint_fast16_t currentLoop;
    RewindFunc rewindFunction;
    jfloat speedFactor;
    uint32_t stride;
    jlong sourceLength;
    bool isOpaque;
    void *frameBufferDescriptor;
};

 

我们本可以手动构造一个伪造的 GifInfo 对象；但该对象体积较大，且其本身是由其他复杂类型（如 GifFileType）复合而成。因此，更合理的做法是去分析其他原生函数，查看 GifInfo 对象的常规创建方式。我们很快就能找到一些潜在的目标函数。

提交 df309bb - gif.c（此处）

Java_pl_droidsonroids_gif_GifInfoHandle_openFile
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
Java_pl_droidsonroids_gif_GifInfoHandle_openStream

 

其中，字节变体的开销似乎最小；特别是openByteArray只需要我们创建一个jbyteArray对象，这在 C 语言中很容易做到。

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, jclass __unused
class, jbyteArray bytes) {
    if (isSourceNull(bytes, env)) {
        return NULL_GIF_INFO;
    }
    ByteArrayContainer *container = malloc(sizeof(ByteArrayContainer));
    if (container == NULL) {
        throwException(env, OUT_OF_MEMORY_ERROR, OOME_MESSAGE);
        return NULL_GIF_INFO;
    }
    container->buffer = (*env)->NewGlobalRef(env, bytes);
    if (container->buffer == NULL) {
        free(container);
        throwException(env, RUNTIME_EXCEPTION_BARE, "NewGlobalRef failed");
        return NULL_GIF_INFO;
    }
    container->length = (unsigned int) (*env)->GetArrayLength(env, container->buffer);
    container->position = 0;
    GifSourceDescriptor descriptor = {
            .rewindFunc = byteArrayRewind,
            .sourceLength = container->length
    };
    descriptor.GifFileIn = DGifOpen(container, &byteArrayRead, &descriptor.Error);
    descriptor.startPos = container->position;

    GifInfo *info = createGifInfo(&descriptor, env);

    if (info == NULL) {
        (*env)->DeleteGlobalRef(env, container->buffer);
        free(container);
    }
    return (jlong) (intptr_t) info;
}

 

注意， GifInfo 对象本身是由 createGifInfo 创建的。

提交 df309bb - init.c （此处）

GifInfo *createGifInfo(GifSourceDescriptor *descriptor, JNIEnv *env) {
    if (descriptor->startPos < 0) {
        descriptor->Error = D_GIF_ERR_NOT_READABLE;
    }
    if (descriptor->Error != 0 || descriptor->GifFileIn == NULL) {
        bool readErrno = descriptor->rewindFunc == fileRewind && (descriptor->Error ==
D_GIF_ERR_NOT_READABLE || descriptor->Error == D_GIF_ERR_READ_FAILED);
        throwGifIOException(descriptor->Error, env, readErrno);
        DGifCloseFile(descriptor->GifFileIn);
        return NULL;
    }

    GifInfo *info = malloc(sizeof(GifInfo));

...

    DDGifSlurp(info, false, false);
    info->rasterBits = NULL;
    info->rasterSize = 0;
    info->originalHeight = info->gifFilePtr->SHeight;
    info->originalWidth = info->gifFilePtr->SWidth;

...

在上面的代码片段中，可以看到初始化函数也会调用 DDGifSlurp，但由于decode=false，而无法触发易受攻击的代码。将此标志设置为 false 会触发 DDGifSlurp 中的 isInitialPass 情况，这种情况只记录每帧元数据，而不解析帧内容。

至此，我们已充分掌握调用这条存在漏洞的代码路径的方法，并且能够整合一系列调用操作，以触达我们想要进行模糊测试的函数。

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ DDGifSlurp

 

然而当前仍缺少两个要素。首先，如果我们创建数千条这样的调用链，就会耗尽内存并导致我们的框架崩溃，因此我们需要确保释放所有已创建的资源。为此，我们可以使用另一个 JNI 导出函数。

相关提交记录为 df309bb - dispose.c（详见此处

Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass __unused handleClass, jlong gifInfo)

 

第二个缺失的要素则不太明显。当 DDGifSlurp 初始化 GIF 时，它会遍历帧列表，同时在此过程中修改 GifInfo 对象。在再次处理 GIF 之前，我们需要将其倒回到初始状态。如下所示，这样做会将我们在ByteArrayContainer中的位置重置为起始位置，并重置GifInfo对象的某些属性。

提交 df309bb - Controle.c（此处）

bool reset(GifInfo *info) {
    if (info->rewindFunction(info) != 0) {
        return false;
    }
    info->nextStartTime = 0;
    info->currentLoop = 0;
    info->currentIndex = 0;
    info->lastFrameRemainder = -1;
    return true;
}

__unused JNIEXPORT jboolean JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *__unused  env, jclass  __unused
class, jlong gifInfo) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info != NULL && reset(info)) {
        return JNI_TRUE;
    }
    return JNI_FALSE;
}

 

最终的调用链如下所示：

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ Java_pl_droidsonroids_gif_GifInfoHandle_reset
     |_ DDGifSlurp
       |_ Java_pl_droidsonroids_gif_GifInfoHandle_free

检验我们的假设

我们可以编译生成一个测试二进制文件，该文件会从磁盘读取 GIF 文件，并将其传入我们构建的调用链中。需要注意的是，我们引入了 jenv 头文件（该文件源自 Quarkslab 实验室的这篇文章），同时还直接从 android-gif-drawable 库中引入了 gif 头文件。

通常，进行模糊测试时，我们会处于以下三种情况之一：

  • 测试纯原生库代码，无外部依赖。
  • 依赖 JNINativeInterface ( JNIEnv )，但我们可以手动创建调用原生代码所需的所有函数参数（例如， jbitArray ）。
  • 依赖某些无法用 C 语言创建的复杂 Java 对象，此时必须加载 APK 或自定义编译的 Java 类来构建参数。

本例中，openByteArray 的函数原型相当简洁，属于第二类场景——我们能够直接用 C 语言创建函数参数而无需额外依赖。

#include <errno.h>
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <stdbool.h>
#include <string.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

/* JNI symbols we call directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, class
clazz, jbyteArray bytes);
extern void  Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass clazz,
jlong gifInfo);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *env, class
clazz, jlong gifInfo);
extern jint JNI_OnLoad(JavaVM *vm, void *reserved);

static JavaCTX ctx;

/**
 * read_file - read an entire file into a memory buffer
 * @path: path to the input file
 * @out_len: pointer to size_t where the number of bytes read will be stored
 * Returns a pointer to the data, or NULL on error.
 * Caller is responsible for freeing the returned buffer.
 */
static uint8_t *read_file(const char *path, size_t *out_len) {
    FILE *f = fopen(path, "rb");
    if (!f) return NULL;
    fseek(f, 0, SEEK_END);
    long sz = ftell(f);
    rewind(f);
    if (sz <= 0) { fclose(f); return NULL; }
    uint8_t *buf = malloc((size_t)sz);
    if (!buf) { fclose(f); return NULL; }
    if (fread(buf, 1, (size_t)sz, f) != (size_t)sz) { free(buf); fclose(f); return
NULL; }
    fclose(f);
    *out_len = (size_t)sz;
    return buf;
}

/**
 * main - read a GIF file, run DDGifSlurp to trigger CVE-2019-11932, and print results
 * @argc: number of command-line arguments
 * @argv: argument vector, expects GIF file path as argv[1]
 * Returns exit code, 0 on success, non-zero on error
 */
int main(int argc, char *argv[]) {
    if (argc != 2) {
        fprintf(stderr, "Usage: %s <gif_path>\n", argv[0]);
        return 1;
    }
    const char *input_path = argv[1];
    /* 1. Read GIF from disk */
    size_t len = 0;
    uint8_t *data = read_file(input_path, &len);
    if (!data) {
        fprintf(stderr, "[-] Failed to read %s\n", input_path);
        return 1;
    }


    /* 2. Initialize Java VM without custom options */
    if (init_java_env(&ctx, NULL, 0) != 0) {
        fprintf(stderr, "[-] init_java_env failed\n");
        free(data);
        return 1;
    }

    /* get JNIEnv */
    JNIEnv *e = ctx.env;

    /* 3. Ensure GIF library's JNI_OnLoad runs to set up g_jvm */
    JNI_OnLoad(ctx.vm, NULL);

    /* 4. Single open-decode-free cycle */

    /* Create Java byte[] */
    jbyteArray arr = (*e)->NewByteArray(e, (jsize)len);
    if (!arr) {
        fprintf(stderr, "[-] NewByteArray failed\n");
        free(data);
        return 1;
    }
    (*e)->SetByteArrayRegion(e, arr, 0, (jsize)len, (const jbyte *)data);

    /* open */
    jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(e, NULL, arr);
    (*e)->DeleteLocalRef(e, arr);
    if ((*e)->ExceptionCheck(e) || gptr == 0) {
        fprintf(stderr, "[-] openByteArray failed\n");
        (*e)->ExceptionClear(e);
        free(data);
        return 1;
    }

    /* rewind */
    Java_pl_droidsonroids_gif_GifInfoHandle_reset(e, NULL, gptr);

    /* decode (vulnerable) */
    DDGifSlurp((GifInfo *)(intptr_t)gptr, true, false);

    /* print some info */
    GifInfo *info = (GifInfo *)(intptr_t)gptr;
    printf("[+] GifInfo at %p: %lu x %lu, %lu frames, loop %lu, error %d\n",
           (void*)info,
           (unsigned long)info->originalWidth,
           (unsigned long)info->originalHeight,
           (unsigned long)info->gifFilePtr->ImageCount,
           (unsigned long)info->loopCount,
           (int)info->gifFilePtr->Error);

    /* free */
    Java_pl_droidsonroids_gif_GifInfoHandle_free(e, NULL, gptr);
    (*e)->ExceptionClear(e);
    free(data);
    return 0;
}

上述代码会从磁盘读取一张图片，初始化 Java 虚拟机 (JVM)，创建一个 jbyteArray 对象，并将该图片数据传入我们构建的调用链中。最后，我们会打印 GifInfo 对象的部分属性，以此获取相关元数据，并确认代码完整执行且无报错。后续，我们可借助这个测试二进制文件，调试过程中发现的任何程序崩溃问题。

DDGifSlurp 测试执行的屏幕截图
DDGifSlurp 测试执行

构建测试桩

攻克了核心难点后，我们可以通过在测试代码外层封装一些 AFL++ 的基础模板代码，来构建模糊测试桩。在 main 函数中，我们先初始化 Java 虚拟机，再编写一个接收字节数组作为输入的函数。这个名为 fuzz_one_input 的函数，会执行所有必要操作，针对传入的单次输入完整走一遍我们的调用链。我们将借助 Frida 对该函数进行挂钩，以便 AFL 能够向其传入测试输入，并收集代码覆盖率数据。

#include <errno.h>
#include <stdio.h>
#include <stdint.h>
#include <jni.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

#define BUFFER_SIZE 65536

/* JNI symbols we invoke directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *, class,
jbyteArray);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *, class,
jlong);
extern void Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *, jclass, jlong);
extern jint JNI_OnLoad(JavaVM *, void *);

static JavaCTX ctx;

/*
 * fuzz_one_input – entry used by Frida-AFL persistent mode.
 * Creates a GifInfo from the fuzz data, rewinds the stream, runs a full
 * decode with DDGifSlurp, then frees the structure.
 */
__attribute__((visibility("default")))
void fuzz_one_input(const uint8_t *data, size_t len) {
  JNIEnv *env = ctx.env;
  if (len < 6) return; /* need at least GIF header */

  /* Create Java byte[] */
  jbyteArray arr = (*env)->NewByteArray(env, (jsize)len);
  if (!arr) return;
  (*env)->SetByteArrayRegion(env, arr, 0, (jsize)len, (const jbyte *)data);

  /* GifInfoHandle.openByteArray */
  jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(env, NULL, arr);
  (*env)->DeleteLocalRef(env, arr);
  if ((*env)->ExceptionCheck(env) || gptr == 0) {
    (*env)->ExceptionClear(env);
    return;
  }

  /* Rewind so decode starts at offset 0 */
  Java_pl_droidsonroids_gif_GifInfoHandle_reset(env, NULL, gptr);

  /* Full decode – this is where CVE-2019-11932 triggers */
  GifInfo *info = (GifInfo *)(intptr_t)gptr;
  DDGifSlurp(info, true, false);

  /* Cleanup */
  Java_pl_droidsonroids_gif_GifInfoHandle_free(env, NULL, gptr);
  (*env)->ExceptionClear(env);
}

/**
 * main - AFL-Frida fuzzing harness entry point
 *
 * Reads up to BUFFER_SIZE bytes from stdin, initializes the Java VM,
 * invokes fuzz_one_input for persistent-mode decoding, and exits.
 *
 * Return: 0 on success (no crash or crash handled by AFL),
 *         non-zero on initialization or read error.
 */
int main(void) {
  uint8_t buffer[BUFFER_SIZE];
  ssize_t rlen = fread(buffer, 1, sizeof buffer, stdin);
  if (rlen == -1) return errno;

  /* Start JVM with default options */
  if (init_java_env(&ctx, NULL, 0) != 0) return 1;

  /* Ensure gif library initialises its global JVM pointer */
  JNI_OnLoad(ctx.vm, NULL);

  fuzz_one_input(buffer, (size_t)rlen);
  return 0;
}

 

以下简短的 Frida 脚本使 AFL++ 能将输入传递给测试框架：它注入微型 C 语言钩子，将每个 AFL 测试用例直接复制到函数输入缓冲区；准确告知 AFL++ 每次迭代的重启位置；并利用 Frida 插桩技术收集覆盖率数据。

Afl.print(`[*] Starting FRIDA config for PID: ${Process.id}`);

// Modules to be instrumented by Frida
const MODULE_WHITELIST = [
  "fuzz_DDGifSlurp",
  "libpl_droidsonroids_gif_fixed.so",
];

// Persistent hook
const hook_module = new CModule(`
  #include <string.h>
  #include <gum/gumdefs.h>

  #define BUF_LEN 65536

  void afl_persistent_hook(GumCpuContext *regs, uint8_t *input_buf,
    uint32_t input_buf_len) {

    uint32_t length = (input_buf_len > BUF_LEN) ? BUF_LEN : input_buf_len;
    memcpy((void *)regs->x[0], input_buf, length);
    regs->x[1] = length;
  }
  `,
  {
    memcpy: Module.getExportByName(null, "memcpy")
  }
);

// Persistent loop start address
const pPersistentAddr = DebugSymbol.fromName("fuzz_one_input").address;

// Exclude from instrumentation
Module.load("libandroid_runtime.so");
new ModuleMap().values().forEach(m => {
  if (!MODULE_WHITELIST.includes(m.name)) {
    Afl.print(`Exclude: ${m.base}-${m.base.add(m.size)} ${m.name}`);
    Afl.addExcludedRange(m.base, m.size);
  }
});

Afl.setEntryPoint(pPersistentAddr);
Afl.setPersistentHook(hook_module.afl_persistent_hook);
Afl.setPersistentAddress(pPersistentAddr);
Afl.setPersistentCount(3000); // Limit how many iterations before reinitializing
                              // the environment
Afl.setInMemoryFuzzing();
Afl.setInstrumentLibraries();
Afl.done();
Afl.print("[*] All done!");

最后，我们可以在手机上启动模糊测试。

panther: # su
panther: # cd /sys/devices/system/cpu
panther:/sys/devices/system/cpu # echo performance | tee cpu*/cpufreq/scaling_governor
performance
panther:/sys/devices/system/cpu # cd /data/local/tmp/whatsapp
panther:/data/local/tmp/whatsapp # ./afl-fuzz -O -G 4096 -i in -o out
./fuzz_DDGifSlurp

 

本次测试持续运行约 7 小时后终止。从下方 AFL 输出可见，共执行超 2 亿次测试用例，记录 2.91 万次崩溃，其中保存了 42 个有效样本。AFL 根据信号类型、故障地址和覆盖率图中的边缘信息，通过启发式算法判断崩溃是否具有保存价值。但这并不意味着每个保存的崩溃都具有独特性。

AFL++ 设备端模糊测试的屏幕截图
AFL++ 设备端模糊测试

崩溃分类

如果我们想对崩溃进行分流，可以通过添加一些额外的打印语句来增强易受攻击的库，这些语句可以让我们更深入地了解DDGifSlurp 解码条件内部发生了什么。

if (decode) {
    // Print raw values used in calculations
    printf("[DEBUG] Image.Width=%u, Image.Height=%u, originalWidth=%u,
originalHeight=%u, currentRasterSize=%u\n",
           (unsigned)gifFilePtr->Image.Width,
           (unsigned)gifFilePtr->Image.Height,
           (unsigned)info->originalWidth,
           (unsigned)info->originalHeight,
           (unsigned)info->rasterSize);

    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr->Image.Height;

    // Pretty-print computed overflow and new raster size
    printf("[DEBUG] widthOverflow=%d, heightOverflow=%d, newRasterSize=%u\n",
           (int)widthOverflow,
           (int)heightOverflow,
           (unsigned)newRasterSize);

    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

为了方便起见，我们还可以使用 ASan 重新编译 test_DDGifSlurp，这将为我们提供有关运行时错误的更详细信息，而不必立即深入研究 LBD。

➜  cmake \                                                          
    -DANDROID_PLATFORM=31 \
     -DCMAKE_TOOLCHAIN_FILE=/opt/homebrew/share/android-ndk/build/cmake/android.toolchain.cmake \
     -DANDROID_ABI=arm64-v8a \
     -DANDROID_ENABLE_ASAN=ON \
     -DCMAKE_BUILD_TYPE=Debug \
     -DCMAKE_C_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_CXX_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_SHARED_LINKER_FLAGS="-fsanitize=address" \
     -DCMAKE_EXE_LINKER_FLAGS="-fsanitize=address" \
     .
 ➜  make

 

根据 GIF 帧的尺寸与构成不同，该漏洞存在多种触发变体。

Android-gif-Drawable DDGifSlurp 双重释放漏洞的屏幕截图
android-gif-drawable 库中 DDGifSlurp 模块存在双释放漏洞

在这个例子中，我们可以看到一个与Awakened在其博客文章中提到的版本几乎完全相同的变体。

  • 初始状态originalWidth 的值为 16697originalHeight 的值为 65530
  • 第 0 帧 ：Image.width 的值为 32768，大于originalwidth。因此，触发了reallocarray 。但是，由于 Image.Height 的值为 0，因此最终 rasterSize 变为 32768*0 = 0。由于 realocarray 的内部行为，指针被释放，留下悬空引用并导致程序中断。
  • 第 1 帧Image.Width 的值为 65535，该值再次大于originalWidth；同时 Image.Height 的值再次为 0。这一情况导致程序执行相同的操作逻辑，进而再次释放同一个指针，最终触发 ASan 告警。

总结

解析器显然很难掌握，开发者很容易出错，或者对解析器将要处理的数据产生认知偏差。借助我们的测试框架，重新发现这个漏洞非常容易。实际上，测试运行仅仅几分钟后就报告了首次崩溃。

若此类库被用于安全性要求极高的应用（如即时通讯应用），则务必对其进行全面的人工测试与自动化测试。倘若应用开发工程师未对库代码进行有效性验证，研究人员无疑会主动开展相关测试（至于他们是否会披露测试结果，此处不做评判）。

附录

该漏洞已于 2019 年被上报并完成修复，但出于好奇，我对该代码仓库的问题记录做了一番调研。令我意外的是，我发现 2016 年有一个因长期无进展被关闭问题（详见此处），而这个问题几乎可以确定与此次的漏洞是同一类问题。。

GitHub 渲染框架崩溃的屏幕截图
GitHub renderFrame 崩溃

用户报告了来自 Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame 的崩溃，这正是该库调用易受攻击的 DDGifSlurp 函数的典型方式。在我们的测试框架中，并未调用此函数，原因在于：

  • 我们需为每次迭代创建 Java Bitmap 对象，或者通过某些技巧复用单个对象。
  • 在每次模糊测试迭代过程中，我们都需要对像素数据执行加锁解锁操作。

如果每秒执行数千次这类操作，会产生极高的计算开销；而实际上，我们在触发目标漏洞函数的测试中，完全不需要这些操作。

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame(JNIEnv *env, jclass __unused
handleClass, jlong gifInfo, jobject jbitmap) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info == NULL)
        return -1;

    long renderStartTime = getRealTime();
    void *pixels;
    if (lockPixels(env, jbitmap, info, &pixels) != 0) {
        return 0;
    }
    DDGifSlurp(info, true, false);
    if (info->currentIndex == 0) {
        prepareCanvas(pixels, info);
    }
    const uint_fast32_t frameDuration = getBitmap(pixels, info);
    unlockPixels(env, jbitmap);
    return calculateInvalidationDelay(info, renderStartTime, frameDuration);
}

 

我预计漏洞研究（VR）领域的许多研究人员正在监控敏感应用所加载的开源库在 GitHub 上的公开及非公开问题。考虑到 WhatsApp 作为目标的高关注度，我很可能不是第一个研究 android-gif-drawable 库中此特定问题（以及其他问题）的人。即使该漏洞在 2019 年之前就已为人知，我也丝毫不会感到意外。

参考资料

1.WhatsApp 中的双重释放漏洞如何演变为远程代码执行 - 此处

  • Awakened 的原始博客文章，描述了该漏洞及利用方法。该研究者的博客中还有其他有趣的文章，但奇怪的是，在发布 WhatsApp 漏洞相关文章后便再无新内容。我确信某个研究实验室已为团队引入了这位优秀人才！

2.已修复的 GIF 处理漏洞仍在影响移动应用程序 -此处

  • Trend Micro的详尽分析报告，同时评估了该漏洞对其他运行旧版本库的 Android 应用的影响。

3. 基于 AFL++ Frida 模式的 Android 灰盒模糊测试 — 详见此处

  • 关于在不同设置（原生、弱链接、强链接）中模糊测试 JNI 函数的基础背景知识。作者：Eric Le Guevel @quarkslab

4. 模糊测试进阶，在 Android 原生库上利用 AFL++ Frida-Mode - 此处

  • 我于 2024 年撰写的文章，提供了 AFL++ Frida-Mode 的更多背景信息，包括构建说明和用法示例。

5. android-gif-drawable - 此处

  • 存在漏洞的该库最新版本为 v1.2.17（详见此处
Mixture of Experts | 12 月 12 日，第 85 集

解码 AI：每周新闻摘要

加入我们世界级的专家小组——工程师、研究人员、产品负责人等将为您甄别 AI 领域的真知灼见，带来最新的 AI 资讯与深度解析。
观看 Mixture of Experts 所有剧集