本文既是对 WhatsApp 所用图像处理库中双重释放漏洞（CVE-2019-11932）的分析，也可作为在 Android 平台模糊测试原生库时开发设备端测试工具的参考。我最初是通过阅读漏洞披露者 Awakened 的研究博客了解到此漏洞。原作者未详述漏洞发现过程，而我想了解重新发现该漏洞的难度。正如我们将要看到的，该漏洞本身相对浅显，使用AFL++对漏洞库进行模糊测试即可轻松复现。
此 CVE 之所以特别值得关注，是因为漏洞库代码（android-gif-drawable < v1.2.18 版本）可通过向目标发送畸形 GIF 文件远程触发。该利用条件虽不完美——需要目标执行手动操作（如打开 WhatsApp 图片库），且仅能作为包含信息泄露、权限提升等额外漏洞的大型利用链的环节，但此类漏洞因可能提供极高情报价值而极为稀有且昂贵。此案例也说明，应用程序审核其代码库所包含的库文件至关重要。大型企业或许应为其产品中使用的开源软件（OSS）安全改进做出更多贡献。近期类似的案例是libxml2 库中五个漏洞的披露。
根据Awakened的漏洞分析报告，我重点关注了GIF解码例程。GIF 文件结构由文件头、逻辑屏幕描述符及逐帧记录流组成。这些记录包含图像描述符（宽度、高度、位置与调色板）、可选扩展块（透明度、延时等）以及压缩的像素数据。在 decode.c 文件的DDGifSlurp函数中，程序会遍历 GIF 记录流并逐帧构建元数据。若decode=true，函数将提取每帧原始像素数据。通常所有帧尺寸相同。这符合我们对 GIF 动画的认知：一系列帧在循环中播放。当帧尺寸相同时，函数会持续复用已创建的缓冲区（rasterBits）分配内存。但函数确实通过调用reallocarray来分配新缓冲区，以处理不同尺寸帧的情况。realloc函数实质是free与malloc功能的结合体。若未提供尺寸参数，该函数仅会释放指针。
提交 df309bb - decoding.c（此处）
假设第一帧图像具有标准尺寸（40×10 像素），则会分配一个 400 字节的缓冲区；第二帧图像存在畸形尺寸（0×20 像素），此时满足以下条件：
调用 realocarray 时，分配尺寸的计算方式为 0*20=0；这会导致 rasterBits 被释放。如果第三帧有类似的畸形尺寸，则会再次释放相同的指针，从而产生双重释放。
符号信息至关重要，它能大幅降低代码功能的解读难度。若你分析的是从 Android 安装包 (APK) 中提取的库文件，这些文件大概率已被剥离符号信息。就我们研究的 android-gif-drawable 库而言，这一问题并不存在，因为我们能够获取其源代码。但如果你需要对闭源二进制文件进行逆向分析，至少应标注 Java 本地接口 (JNI) 类型，以此简化研究流程。你可阅读 @Ch0pin 发布的一篇博文（此处），以了解更多相关背景知识。而在我的研究中，我使用的是 Binary Ninja 逆向分析工具，且找到了一个可导入使用的有效类型头文件（此处）。
为理解如何应用类型定义，可在反编译的 APK 中搜索原生函数声明。在下面的屏幕截图中，我们可以在 JEB 中看到 APK 的一些 Android-GIF-Drawable 声明。
以 getFrameDuration 为例：
此处，符号 J 对应的数据类型为 JNI 长整型，符号 I 对应的数据类型 JNI 整型。需注意该函数的返回类型同样为 JNI 整型。若我们将这些值与 JNI 原生方法调用的标准相结合，最终可得到如下结果：
您可以在此流程中应用一些自动化功能（使用 androguard、JEB API 等）。通过建立正确的类型映射，您可以通过编程方式遍历每个类，并将所有识别的类型应用于您正在分析的库。
需要一定工程化处理来解析 APK、提取调用定义，并在首选反编译器中应用这些信息。这项投入是值得的，因为它能减少手动工作量，并提供 APK 中整体原生库使用情况的高层概览。
我做的第一件事（由于该库为开源项目）是基于 v1.2.17 版本发布包，通过 Android NDK 编译出我自己的 android-gif-drawable 库版本。随后，我核查了该二进制文件中暴露的导出符号：
这些信息非常实用：我们既可直接调用 DDGifSlurp 函数，也能查看 JNI 导出函数集合。如果我们再次查看 DDGifSlurp ，我们会发现第一个参数是指向复杂类型 GifInfo 的指针。
提交df309bb - gif.h（此处）
我们本可以手动构造一个伪造的 GifInfo 对象；但该对象体积较大，且其本身是由其他复杂类型（如 GifFileType）复合而成。因此，更合理的做法是去分析其他原生函数，查看 GifInfo 对象的常规创建方式。我们很快就能找到一些潜在的目标函数。
提交 df309bb - gif.c（此处）
其中，字节变体的开销似乎最小；特别是openByteArray只需要我们创建一个jbyteArray对象，这在 C 语言中很容易做到。
注意， GifInfo 对象本身是由 createGifInfo 创建的。
提交 df309bb - init.c （此处）
在上面的代码片段中，可以看到初始化函数也会调用 DDGifSlurp，但由于decode=false，而无法触发易受攻击的代码。将此标志设置为 false 会触发 DDGifSlurp 中的 isInitialPass 情况，这种情况只记录每帧元数据，而不解析帧内容。
至此，我们已充分掌握调用这条存在漏洞的代码路径的方法，并且能够整合一系列调用操作，以触达我们想要进行模糊测试的函数。
然而当前仍缺少两个要素。首先，如果我们创建数千条这样的调用链，就会耗尽内存并导致我们的框架崩溃，因此我们需要确保释放所有已创建的资源。为此，我们可以使用另一个 JNI 导出函数。
相关提交记录为 df309bb - dispose.c（详见此处）
第二个缺失的要素则不太明显。当 DDGifSlurp 初始化 GIF 时，它会遍历帧列表，同时在此过程中修改 GifInfo 对象。在再次处理 GIF 之前，我们需要将其倒回到初始状态。如下所示，这样做会将我们在ByteArrayContainer中的位置重置为起始位置，并重置GifInfo对象的某些属性。
提交 df309bb - Controle.c（此处）
最终的调用链如下所示：
我们可以编译生成一个测试二进制文件，该文件会从磁盘读取 GIF 文件，并将其传入我们构建的调用链中。需要注意的是，我们引入了 jenv 头文件（该文件源自 Quarkslab 实验室的这篇文章），同时还直接从 android-gif-drawable 库中引入了 gif 头文件。
通常，进行模糊测试时，我们会处于以下三种情况之一：
本例中，openByteArray 的函数原型相当简洁，属于第二类场景——我们能够直接用 C 语言创建函数参数而无需额外依赖。
上述代码会从磁盘读取一张图片，初始化 Java 虚拟机 (JVM)，创建一个 jbyteArray 对象，并将该图片数据传入我们构建的调用链中。最后，我们会打印 GifInfo 对象的部分属性，以此获取相关元数据，并确认代码完整执行且无报错。后续，我们可借助这个测试二进制文件，调试过程中发现的任何程序崩溃问题。
攻克了核心难点后，我们可以通过在测试代码外层封装一些 AFL++ 的基础模板代码，来构建模糊测试桩。在 main 函数中，我们先初始化 Java 虚拟机，再编写一个接收字节数组作为输入的函数。这个名为 fuzz_one_input 的函数，会执行所有必要操作，针对传入的单次输入完整走一遍我们的调用链。我们将借助 Frida 对该函数进行挂钩，以便 AFL 能够向其传入测试输入，并收集代码覆盖率数据。
以下简短的 Frida 脚本使 AFL++ 能将输入传递给测试框架：它注入微型 C 语言钩子，将每个 AFL 测试用例直接复制到函数输入缓冲区；准确告知 AFL++ 每次迭代的重启位置；并利用 Frida 插桩技术收集覆盖率数据。
最后，我们可以在手机上启动模糊测试。
本次测试持续运行约 7 小时后终止。从下方 AFL 输出可见，共执行超 2 亿次测试用例，记录 2.91 万次崩溃，其中保存了 42 个有效样本。AFL 根据信号类型、故障地址和覆盖率图中的边缘信息，通过启发式算法判断崩溃是否具有保存价值。但这并不意味着每个保存的崩溃都具有独特性。
如果我们想对崩溃进行分流，可以通过添加一些额外的打印语句来增强易受攻击的库，这些语句可以让我们更深入地了解DDGifSlurp 解码条件内部发生了什么。
为了方便起见，我们还可以使用 ASan 重新编译 test_DDGifSlurp，这将为我们提供有关运行时错误的更详细信息，而不必立即深入研究 LBD。
根据 GIF 帧的尺寸与构成不同，该漏洞存在多种触发变体。
在这个例子中，我们可以看到一个与Awakened在其博客文章中提到的版本几乎完全相同的变体。
解析器显然很难掌握，开发者很容易出错，或者对解析器将要处理的数据产生认知偏差。借助我们的测试框架，重新发现这个漏洞非常容易。实际上，测试运行仅仅几分钟后就报告了首次崩溃。
若此类库被用于安全性要求极高的应用（如即时通讯应用），则务必对其进行全面的人工测试与自动化测试。倘若应用开发工程师未对库代码进行有效性验证，研究人员无疑会主动开展相关测试（至于他们是否会披露测试结果，此处不做评判）。
该漏洞已于 2019 年被上报并完成修复，但出于好奇，我对该代码仓库的问题记录做了一番调研。令我意外的是，我发现 2016 年有一个因长期无进展被关闭的问题（详见此处），而这个问题几乎可以确定与此次的漏洞是同一类问题。。
用户报告了来自 Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame 的崩溃，这正是该库调用易受攻击的 DDGifSlurp 函数的典型方式。在我们的测试框架中，并未调用此函数，原因在于：
如果每秒执行数千次这类操作，会产生极高的计算开销；而实际上，我们在触发目标漏洞函数的测试中，完全不需要这些操作。
我预计漏洞研究（VR）领域的许多研究人员正在监控敏感应用所加载的开源库在 GitHub 上的公开及非公开问题。考虑到 WhatsApp 作为目标的高关注度，我很可能不是第一个研究 android-gif-drawable 库中此特定问题（以及其他问题）的人。即使该漏洞在 2019 年之前就已为人知，我也丝毫不会感到意外。
1.WhatsApp 中的双重释放漏洞如何演变为远程代码执行 - 此处
2.已修复的 GIF 处理漏洞仍在影响移动应用程序 -此处
3. 基于 AFL++ Frida 模式的 Android 灰盒模糊测试 — 详见此处
4. 模糊测试进阶，在 Android 原生库上利用 AFL++ Frida-Mode - 此处
5. android-gif-drawable - 此处
