Reproduktion eines Millionen-Dollar-Fehlers: WhatsApp CVE-2019-11932 (mit AFL & Frida)

Nahaufnahme von den Händen einer Frau, die ein Smartphone hält und vor einem gelben Shirt schreibt

Einführung

Dieser Beitrag ist teilweise eine Analyse einer doppelten Sicherheitslücke (CVE-2019-11932) in einer von WhatsApp verwendeten Bildverarbeitungsbibliothek und teilweise eine Referenz für die Entwicklung von Kabelbäumen auf dem Gerät bei der Fuzzing nativer Bibliotheken auf Android. Ich habe zum ersten Mal von dieser Sicherheitslücke erfahren, als ich einen Blogbeitrag von Awakened gelesen habe, dem Forscher, der das Problem aufgedeckt hat. Der Autor ging nicht näher darauf ein, wie dieses Problem gefunden wurde, und ich wollte wissen, wie schwer es sein würde, den Fehler erneut zu entdecken. Wie wir sehen werden, ist die Schwachstelle selbst ziemlich oberflächlich und lässt sich leicht reproduzieren, indem man die verwundbare Bibliothek mit AFL++ fuzzt.

Dieses CVE ist besonders interessant, weil der verwundbare Bibliothekscode (android-gif-drawable < v1.2.18) aus der Ferne durch das Senden einer fehlerhaften GIF-Datei ausgelöst werden konnte. Diese primitive Methode war nicht perfekt, da sie darauf beruhte, dass die Zielperson einige manuelle Aktionen durchführte, wie das Öffnen der WhatsApp-Bildergalerie. Darüber hinaus wäre diese Schwachstelle nur ein Teil einer größeren Komponentenkette, die weitere Schwachstellen umfassen würde, beispielsweise zur Durchführung von Informationslecks und zur Eskalation von Berechtigungen. Dennoch sind diese Arten von Schwachstellen selten und teuer, da sie einen potenziellen Wert für menschliche Intelligenz bieten. Dieser Fall verdeutlicht auch, warum es so wichtig ist, dass Anwendungen die Bibliotheken, die sie in ihre Codebasis aufnehmen, überprüfen. Große Unternehmen sollten vielleicht mehr tun, um zur Sicherheit der Open-Source-Software (OSS), die sie in ihren Produkten einsetzen, beizutragen und diese zu verbessern. Ein jüngeres, analoges Beispiel führte zur Offenlegung von fünf Schwachstellen in libxml2.

CVE-2019-11932 Ursachenanalyse (RCA)

Basierend auf dem Schwachstellenbericht von Awakenedhabe ich meine Bemühungen auf die GIF-Decodierungsroutine konzentriert. Eine GIF-Datei besteht aus einem Header und einem logischen Bildschirmdeskriptor, gefolgt von einem Strom von Datensätzen für jedes Bild. Diese Datensätze bestehen aus einem Bilddeskriptor (Breite, Höhe, Position und Palette), optionalen Erweiterungsblöcken (Transparenz, Verzögerungen usw.) und komprimierten Pixeldaten. In Decoding.c gibt es eine Funktion, DDGifSlurp, die die GIF-Datensatzströme durchläuft und pro-frame-Metadaten sammelt. Wenn decode=true, werden die Rohpixel pro Frame extrahiert. Normalerweise haben alle Rahmen die gleiche Größe. Das ergibt Sinn, denn wenn man sich ein GIF anschaut, sieht man eine Reihe von Frames in einer Schleife. Wenn Frames dieselbe Größe haben, verwendet die Funktion weiterhin die Zuweisung, die sie zum Speichern des Puffers (RasterBits) erstellt hat. Die Funktion behandelt jedoch Fälle, in denen die Frames eine andere Größe haben, indem sie reallocarray aufruft, um einen neuen Puffer zuzuweisen. Die Funktion realloc ist eine Kombination aus free und malloc. Wenn keine Größe angegeben wird, wird der Zeiger einfach freigegeben.

Commit df309bb - decoding.c hier

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame) {
    GifRecordType RecordType;
    GifByteType *ExtData;
    int ExtFunction;
    GifFileType *gifFilePtr;
    gifFilePtr = info->gifFilePtr;
    uint_fast32_t lastAllocatedGCBIndex = 0;

...

if (decode) {
    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr-
->Image.Height;
    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

Angenommen, der erste Frame hat normale Abmessungen (40 × 10), dann wird ein Puffer von 400 Bytes reserviert. Der zweite Frame hat fehlerhafte Abmessungen ( 0 × 20). In diesem Fall gilt Folgendes:

  • widthOverflow ist falsch
  • heightOverflow ist wahr
  • newRasterSize ist 0

Wenn reallocarray aufgerufen wird, wird die Allokationsgröße als 0*20=0 berechnet; dies führt dazu, dass rasterBits freigegeben wird. Wenn der dritte Rahmen ähnlich fehlerhafte Abmessungen hat, wird derselbe Zeiger erneut freigegeben, was zu einem Double-Free führt.

Android-gif-Drawable

Symbole

Symbole sind wichtig; sie erleichtern die Interpretation dessen, was ein Codeabschnitt bewirkt. Wenn Sie Bibliotheken analysieren, die aus einem Android Package Kit (APK) extrahiert wurden, werden sie höchstwahrscheinlich von Symbolen befreit. In unserem speziellen Fall ist das bei Android-Gif-Drawable kein Problem, weil wir Zugriff auf die Quelle haben. Wenn Sie jedoch eine proprietäre Binärdatei reverse-engineeren müssen, sollten Sie zumindest die Java Native Interface (JNI)-Typen verwenden, um den Forschung zu vereinfachen. Es gibt einen Beitrag von @Ch0pin, den Sie hier lesen können, um etwas mehr Hintergrundwissen zu erhalten. In meinem Fall verwende ich Binary Ninja, und ich habe eine funktionierende Header-Datei gefunden, die hier importiert werden kann.

Um zu verstehen, wie die Typen angewendet werden, können Sie die dekompilierte APK nach nativen Deklarationen durchsuchen. Im untenstehenden Screenshot sehen wir einige der Android-gif-Drawable-Deklarationen aus der APK in JEB.

Screenshot von JEB Dalvik Bytecode
JEB Dalvik Bytecode

Nehmen Sie getFrameDuration als Beispiel:

.method public static native getFrameDuration(J, I)I
.end method

 

Hier wird J mit jlong und I mit jint übersetzt. Beachten Sie, dass die Funktion auch den Rückgabetyp Jint hat. Wenn wir diese Werte mit der Standard-Aufrufkonvention für native JNI-Aufrufe kombinieren, erhalten wir:

jint getFrameDuration(JNIEnv* env, jclass clazz, jlong arg0, jint arg1)

 

Dieser Prozess lässt sich mit Automatisierung (z. B. mit Androguard, der JEB-API usw.). Mit korrekten Typzuordnungen können Sie programmatisch jede Klasse durchlaufen und alle identifizierten Typen auf die zu analysierende Bibliothek anwenden.

Extraktion und Anwendung von JNI-Symbolen auf eine binäre Ninja-Datenbank
Extraktion und Anwendung von JNI-Symbolen auf eine binäre Ninja-Datenbank

Um die APK zu analysieren, die Aufrufdefinitionen zu extrahieren und sie im bevorzugten Dekompiler anzuwenden, sind einige technische Kenntnisse erforderlich. Dieser Aufwand lohnt sich, denn er reduziert den manuellen Arbeitsaufwand und gibt Ihnen einen Überblick über die Verwendung nativer Bibliotheken in der APK als Ganzes.

Screenshot des von Binary Ninja dekompilierten nativen Codes
Binary Ninja dekompilierte nativen Code
Fuzzing DDGifSlurp

Wie können wir unsere Zielfunktion erreichen?

Als erstes habe ich (da die Bibliothek Open Source ist) meine eigene Version von android-gif-drawable aus dem Release-Paket v1.2.17 mit Hilfe des Android NDK erstellt. Anschließend habe ich überprüft, welche Exportoptionen in der Binärdatei verfügbar waren:

➜ nm -D lib/libpl_droidsonroids_gif_fixed.so | awk '$3 ~ /^D/ || $3 ~ /^Java_pl_/'
 0000000000006214 T DDGifSlurp
 000000000000ad14 T DGifCloseFile
 000000000000ac58 T DGifExtensionToGCB
 000000000000a91c T DGifGetCodeNext
 000000000000aa68 T DGifGetExtension
 000000000000ab20 T DGifGetExtensionNext
 0000000000009cc0 T DGifGetImageDesc
 000000000000a254 T DGifGetLine
 0000000000009b98 T DGifGetRecordType
 000000000000989c T DGifGetScreenDesc
 0000000000009644 T DGifOpen
 000000000000bb90 T DetachCurrentThread
 000000000000d53c T Java_pl_droidsonroids_gif_GifInfoHandle_bindSurface
 0000000000009314 T
Java_pl_droidsonroids_gif_GifInfoHandle_createTempNativeFileDescriptor
 00000000000091ac T
Java_pl_droidsonroids_gif_GifInfoHandle_extractNativeFileDescriptor
 0000000000006d20 T Java_pl_droidsonroids_gif_GifInfoHandle_free
 000000000000c238 T Java_pl_droidsonroids_gif_GifInfoHandle_getAllocationByteCount
 000000000000bd74 T Java_pl_droidsonroids_gif_GifInfoHandle_getComment
 000000000000c578 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentFrameIndex
 000000000000c528 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentLoop
 000000000000c008 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentPosition
 000000000000bf00 T Java_pl_droidsonroids_gif_GifInfoHandle_getDuration
 000000000000caa4 T Java_pl_droidsonroids_gif_GifInfoHandle_getFrameDuration
 000000000000cbc0 T Java_pl_droidsonroids_gif_GifInfoHandle_getHeight
 000000000000be68 T Java_pl_droidsonroids_gif_GifInfoHandle_getLoopCount
 000000000000c15c T Java_pl_droidsonroids_gif_GifInfoHandle_getMetadataByteCount
 000000000000c4d4 T Java_pl_droidsonroids_gif_GifInfoHandle_getNativeErrorCode
 000000000000cc14 T Java_pl_droidsonroids_gif_GifInfoHandle_getNumberOfFrames
 000000000000c5cc T Java_pl_droidsonroids_gif_GifInfoHandle_getSavedState
 000000000000bfb4 T Java_pl_droidsonroids_gif_GifInfoHandle_getSourceLength
 000000000000cb6c T Java_pl_droidsonroids_gif_GifInfoHandle_getWidth
 000000000000cc68 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexImage2D
 000000000000cd50 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexSubImage2D
 000000000000ce38 T Java_pl_droidsonroids_gif_GifInfoHandle_initTexImageDescriptor
 000000000000bde4 T Java_pl_droidsonroids_gif_GifInfoHandle_isAnimationCompleted
 000000000000cb10 T Java_pl_droidsonroids_gif_GifInfoHandle_isOpaque
 00000000000084cc T Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
 00000000000087a4 T Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
 0000000000008278 T Java_pl_droidsonroids_gif_GifInfoHandle_openFile
 0000000000009340 T Java_pl_droidsonroids_gif_GifInfoHandle_openNativeFileDescriptor
 0000000000008ab8 T Java_pl_droidsonroids_gif_GifInfoHandle_openStream
 000000000000e354 T Java_pl_droidsonroids_gif_GifInfoHandle_postUnbindSurface
 00000000000057dc T Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame
 000000000000597c T Java_pl_droidsonroids_gif_GifInfoHandle_reset
 000000000000611c T Java_pl_droidsonroids_gif_GifInfoHandle_restoreRemainder
 000000000000c9d8 T Java_pl_droidsonroids_gif_GifInfoHandle_restoreSavedState
 000000000000603c T Java_pl_droidsonroids_gif_GifInfoHandle_saveRemainder
 0000000000005f6c T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrame
 000000000000d4d0 T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrameGL
 0000000000005ccc T Java_pl_droidsonroids_gif_GifInfoHandle_seekToTime
 000000000000beb8 T Java_pl_droidsonroids_gif_GifInfoHandle_setLoopCount
 000000000000b948 T Java_pl_droidsonroids_gif_GifInfoHandle_setOptions
 00000000000059e4 T Java_pl_droidsonroids_gif_GifInfoHandle_setSpeedFactor
 000000000000cfa0 T Java_pl_droidsonroids_gif_GifInfoHandle_startDecoderThread
 000000000000d374 T Java_pl_droidsonroids_gif_GifInfoHandle_stopDecoderThread

 

Dies ist eine hilfreiche Information, da wir wissen, dass wir DDGifSlurp direkt aufrufen können und außerdem die Menge der JNI-exportierten Funktionen sehen können. Wenn wir uns DDGifSlurp noch einmal ansehen, sehen wir, dass das erste Argument ein Zeiger auf einen komplexen Typ, GifInfo, ist.

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame)

 

Commit df309bb - Gif.h hier

struct GifInfo {
    void (*destructor)(GifInfo *, JNIEnv *);
    GifFileType *gifFilePtr;
    GifWord originalWidth, originalHeight;
    uint_fast16_t sampleSize;
    long long lastFrameRemainder;
    long long nextStartTime;
    uint_fast32_t currentIndex;
    GraphicsControlBlock *controlBlock;
    argb *backupPtr;
    long long startPos;
    unsigned char *rasterBits;
    uint_fast32_t rasterSize;
    char *comment;
    uint_fast16_t loopCount;
    uint_fast16_t currentLoop;
    RewindFunc rewindFunction;
    jfloat speedFactor;
    uint32_t stride;
    jlong sourceLength;
    bool isOpaque;
    void *frameBufferDescriptor;
};

 

Wir könnten manuell ein gefälschtes GifInfo-Objekt erstellen; das Objekt ist jedoch ziemlich groß und selbst eine Zusammensetzung anderer komplexer Typen (wie GifFileType). Stattdessen ist es sinnvoller, die anderen nativen Funktionen zu untersuchen, um zu sehen, wie GifInfo-Objekte üblicherweise erstellt werden. Wir können schnell einige potenzielle Kandidaten finden.

Commit df309bb - gif.c hier

Java_pl_droidsonroids_gif_GifInfoHandle_openFile
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
Java_pl_droidsonroids_gif_GifInfoHandle_openStream

 

Von diesen scheinen die Byte-Varianten den geringsten Overhead zu haben; insbesondere erfordert openByteArray lediglich die Erstellung eines jbyteArray- Objekts, was in C problemlos möglich ist.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, jclass __unused
class, jbyteArray bytes) {
    if (isSourceNull(bytes, env)) {
        return NULL_GIF_INFO;
    }
    ByteArrayContainer *container = malloc(sizeof(ByteArrayContainer));
    if (container == NULL) {
        throwException(env, OUT_OF_MEMORY_ERROR, OOME_MESSAGE);
        return NULL_GIF_INFO;
    }
    container->buffer = (*env)->NewGlobalRef(env, bytes);
    if (container->buffer == NULL) {
        free(container);
        throwException(env, RUNTIME_EXCEPTION_BARE, "NewGlobalRef failed");
        return NULL_GIF_INFO;
    }
    container->length = (unsigned int) (*env)->GetArrayLength(env, container->buffer);
    container->position = 0;
    GifSourceDescriptor descriptor = {
            .rewindFunc = byteArrayRewind,
            .sourceLength = container->length
    };
    descriptor.GifFileIn = DGifOpen(container, &byteArrayRead, &descriptor.Error);
    descriptor.startPos = container->position;

    GifInfo *info = createGifInfo(&descriptor, env);

    if (info == NULL) {
        (*env)->DeleteGlobalRef(env, container->buffer);
        free(container);
    }
    return (jlong) (intptr_t) info;
}

 

Beachten Sie, dass das GifInfo-Objekt selbst von createGifInfo erstellt wird.

Commit df309bb - init.c hier

GifInfo *createGifInfo(GifSourceDescriptor *descriptor, JNIEnv *env) {
    if (descriptor->startPos < 0) {
        descriptor->Error = D_GIF_ERR_NOT_READABLE;
    }
    if (descriptor->Error != 0 || descriptor->GifFileIn == NULL) {
        bool readErrno = descriptor->rewindFunc == fileRewind && (descriptor->Error ==
D_GIF_ERR_NOT_READABLE || descriptor->Error == D_GIF_ERR_READ_FAILED);
        throwGifIOException(descriptor->Error, env, readErrno);
        DGifCloseFile(descriptor->GifFileIn);
        return NULL;
    }

    GifInfo *info = malloc(sizeof(GifInfo));

...

    DDGifSlurp(info, false, false);
    info->rasterBits = NULL;
    info->rasterSize = 0;
    info->originalHeight = info->gifFilePtr->SHeight;
    info->originalWidth = info->gifFilePtr->SWidth;

...

Im obigen Codeausschnitt ist zu sehen, dass die Initialisierungsfunktion auch DDGifSlurp aufruft, aber den anfälligen Code nicht auslösen kann, da decode=false. Wenn Sie dieses Flag auf false setzen, wird der isInitialPass-Fall in DDGifSlurp ausgelöst , der nur die Metadaten pro Frame aufzeichnet, ohne die Frames zu analysieren.

Jetzt wissen wir ziemlich genau, wie wir den verwundbaren Codepfad aufrufen können, und wir können eine Reihe von Aufrufen zusammenstellen, um die Funktion zu erreichen, die wir fuzzen wollen.

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ DDGifSlurp

 

Allerdings fehlen hier zwei Elemente. Wenn wir Tausende dieser Aufrufketten erstellen, geht uns der Speicher aus und unser Harness stürzt ab. Wir müssen also sicherstellen, dass alle von uns erstellten Ressourcen freigegeben werden. Um dies zu erreichen, können wir eine weitere der von JNI exportierten Funktionen verwenden.

Commit df309bb - dispose.c hier

Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass __unused handleClass, jlong gifInfo)

 

Das zweite fehlende Element ist viel weniger offensichtlich. Wenn DDGifSlurp das GIF initialisiert, durchläuft es die Liste der Frames und ändert dabei das GifInfo-Objekt . Bevor wir das GIF erneut verarbeiten können, müssen wir es in den ursprünglichen Zustand zurücksetzen. Dadurch wird unsere Position im ByteArrayContainer auf die Startposition zurückgesetzt und einige Eigenschaften des GifInfo- Objekts werden zurückgesetzt, wie unten zu sehen ist.

Commit df309bb - controle.c hier

bool reset(GifInfo *info) {
    if (info->rewindFunction(info) != 0) {
        return false;
    }
    info->nextStartTime = 0;
    info->currentLoop = 0;
    info->currentIndex = 0;
    info->lastFrameRemainder = -1;
    return true;
}

__unused JNIEXPORT jboolean JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *__unused  env, jclass  __unused
class, jlong gifInfo) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info != NULL && reset(info)) {
        return JNI_TRUE;
    }
    return JNI_FALSE;
}

 

Unsere letzte Anrufkette sieht so aus:

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ Java_pl_droidsonroids_gif_GifInfoHandle_reset
     |_ DDGifSlurp
       |_ Java_pl_droidsonroids_gif_GifInfoHandle_free

Unsere Annahmen testen

Wir können ein Test-Binary erstellen, das ein GIF von der Festplatte nimmt und es durch unsere Aufrufkette leitet. Beachten Sie, dass wir eine jenv-Headerdatei (aus diesem Quarkslab-Beitrag) einbinden und außerdem den gif-Header direkt aus der android-gif-drawable-Bibliothek selbst einbinden.

Normalerweise würden wir uns beim Fuzzing in einem von drei Szenarien befinden:

  • Wir testen reinen nativen Bibliothekscode mit Fuzzing; es gibt keine Abhängigkeiten.
  • Wir sind von der JNINativeInterface (JNIEnv) abhängig, können aber alle Funktionsargumente, die wir für den Aufruf unseres nativen Codes benötigen, manuell erstellen (z.B. jbyteArray).
  • Wir sind von einem komplexen Java-Objekt abhängig, das wir nicht in C erstellen können. In diesem Fall müssen wir die APK oder eine benutzerdefinierte kompilierte Java-Klasse laden, um unsere Argumente zu erstellen.

In unserem Fall hat openByteArray einen ziemlich einfachen Prototyp, sodass wir uns in dieser zweiten Kategorie befinden, in der wir die Funktionsargumente aus C ohne zusätzliche Abhängigkeiten erstellen können.

#include <errno.h>
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <stdbool.h>
#include <string.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

/* JNI symbols we call directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, class
clazz, jbyteArray bytes);
extern void  Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass clazz,
jlong gifInfo);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *env, class
clazz, jlong gifInfo);
extern jint JNI_OnLoad(JavaVM *vm, void *reserved);

static JavaCTX ctx;

/**
 * read_file - read an entire file into a memory buffer
 * @path: path to the input file
 * @out_len: pointer to size_t where the number of bytes read will be stored
 * Returns a pointer to the data, or NULL on error.
 * Caller is responsible for freeing the returned buffer.
 */
static uint8_t *read_file(const char *path, size_t *out_len) {
    FILE *f = fopen(path, "rb");
    if (!f) return NULL;
    fseek(f, 0, SEEK_END);
    long sz = ftell(f);
    rewind(f);
    if (sz <= 0) { fclose(f); return NULL; }
    uint8_t *buf = malloc((size_t)sz);
    if (!buf) { fclose(f); return NULL; }
    if (fread(buf, 1, (size_t)sz, f) != (size_t)sz) { free(buf); fclose(f); return
NULL; }
    fclose(f);
    *out_len = (size_t)sz;
    return buf;
}

/**
 * main - read a GIF file, run DDGifSlurp to trigger CVE-2019-11932, and print results
 * @argc: number of command-line arguments
 * @argv: argument vector, expects GIF file path as argv[1]
 * Returns exit code, 0 on success, non-zero on error
 */
int main(int argc, char *argv[]) {
    if (argc != 2) {
        fprintf(stderr, "Usage: %s <gif_path>\n", argv[0]);
        return 1;
    }
    const char *input_path = argv[1];
    /* 1. Read GIF from disk */
    size_t len = 0;
    uint8_t *data = read_file(input_path, &len);
    if (!data) {
        fprintf(stderr, "[-] Failed to read %s\n", input_path);
        return 1;
    }


    /* 2. Initialize Java VM without custom options */
    if (init_java_env(&ctx, NULL, 0) != 0) {
        fprintf(stderr, "[-] init_java_env failed\n");
        free(data);
        return 1;
    }

    /* get JNIEnv */
    JNIEnv *e = ctx.env;

    /* 3. Ensure GIF library's JNI_OnLoad runs to set up g_jvm */
    JNI_OnLoad(ctx.vm, NULL);

    /* 4. Single open-decode-free cycle */

    /* Create Java byte[] */
    jbyteArray arr = (*e)->NewByteArray(e, (jsize)len);
    if (!arr) {
        fprintf(stderr, "[-] NewByteArray failed\n");
        free(data);
        return 1;
    }
    (*e)->SetByteArrayRegion(e, arr, 0, (jsize)len, (const jbyte *)data);

    /* open */
    jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(e, NULL, arr);
    (*e)->DeleteLocalRef(e, arr);
    if ((*e)->ExceptionCheck(e) || gptr == 0) {
        fprintf(stderr, "[-] openByteArray failed\n");
        (*e)->ExceptionClear(e);
        free(data);
        return 1;
    }

    /* rewind */
    Java_pl_droidsonroids_gif_GifInfoHandle_reset(e, NULL, gptr);

    /* decode (vulnerable) */
    DDGifSlurp((GifInfo *)(intptr_t)gptr, true, false);

    /* print some info */
    GifInfo *info = (GifInfo *)(intptr_t)gptr;
    printf("[+] GifInfo at %p: %lu x %lu, %lu frames, loop %lu, error %d\n",
           (void*)info,
           (unsigned long)info->originalWidth,
           (unsigned long)info->originalHeight,
           (unsigned long)info->gifFilePtr->ImageCount,
           (unsigned long)info->loopCount,
           (int)info->gifFilePtr->Error);

    /* free */
    Java_pl_droidsonroids_gif_GifInfoHandle_free(e, NULL, gptr);
    (*e)->ExceptionClear(e);
    free(data);
    return 0;
}

Der obige Code liest ein Bild von der Festplatte, initialisiert die Java Virtual Machine (JVM), erstellt ein jbyteArray und leitet das Bild durch unsere Aufrufkette. Am Ende drucken wir einige Eigenschaften aus dem GifInfo-Objekt , damit wir Metadaten erhalten und bestätigen können, dass der Code fehlerfrei abgeschlossen ist. Später können wir diese Testbinärdatei verwenden, um eventuelle Abstürze zu beheben.

Screenshot der DDGifSlurp-Testausführung
DDGifSlurp-Testausführung

Herstellung eines Kabelbaums

Nachdem wir den schwierigen Teil hinter uns haben, können wir ein Fuzzing-Kabelbaum erstellen, indem wir den Testcode in eine AFL++-Boilerplate einpacken. Im Main initialisieren wir die Java-VM und erstellen dann eine Funktion, die ein Byte-Array als Eingabe nimmt. Diese Funktion führt fuzz_one_input alle notwendigen Aktionen aus, um unsere Aufrufkette einmal mit der bereitgestellten Eingabe zu durchlaufen. Wir werden Frida nutzen, um diese Funktion zu koppeln, damit AFL Eingaben weitergeben und Abdeckung sammeln kann.

#include <errno.h>
#include <stdio.h>
#include <stdint.h>
#include <jni.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

#define BUFFER_SIZE 65536

/* JNI symbols we invoke directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *, class,
jbyteArray);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *, class,
jlong);
extern void Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *, jclass, jlong);
extern jint JNI_OnLoad(JavaVM *, void *);

static JavaCTX ctx;

/*
 * fuzz_one_input – entry used by Frida-AFL persistent mode.
 * Creates a GifInfo from the fuzz data, rewinds the stream, runs a full
 * decode with DDGifSlurp, then frees the structure.
 */
__attribute__((visibility("default")))
void fuzz_one_input(const uint8_t *data, size_t len) {
  JNIEnv *env = ctx.env;
  if (len < 6) return; /* need at least GIF header */

  /* Create Java byte[] */
  jbyteArray arr = (*env)->NewByteArray(env, (jsize)len);
  if (!arr) return;
  (*env)->SetByteArrayRegion(env, arr, 0, (jsize)len, (const jbyte *)data);

  /* GifInfoHandle.openByteArray */
  jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(env, NULL, arr);
  (*env)->DeleteLocalRef(env, arr);
  if ((*env)->ExceptionCheck(env) || gptr == 0) {
    (*env)->ExceptionClear(env);
    return;
  }

  /* Rewind so decode starts at offset 0 */
  Java_pl_droidsonroids_gif_GifInfoHandle_reset(env, NULL, gptr);

  /* Full decode – this is where CVE-2019-11932 triggers */
  GifInfo *info = (GifInfo *)(intptr_t)gptr;
  DDGifSlurp(info, true, false);

  /* Cleanup */
  Java_pl_droidsonroids_gif_GifInfoHandle_free(env, NULL, gptr);
  (*env)->ExceptionClear(env);
}

/**
 * main - AFL-Frida fuzzing harness entry point
 *
 * Reads up to BUFFER_SIZE bytes from stdin, initializes the Java VM,
 * invokes fuzz_one_input for persistent-mode decoding, and exits.
 *
 * Return: 0 on success (no crash or crash handled by AFL),
 *         non-zero on initialization or read error.
 */
int main(void) {
  uint8_t buffer[BUFFER_SIZE];
  ssize_t rlen = fread(buffer, 1, sizeof buffer, stdin);
  if (rlen == -1) return errno;

  /* Start JVM with default options */
  if (init_java_env(&ctx, NULL, 0) != 0) return 1;

  /* Ensure gif library initialises its global JVM pointer */
  JNI_OnLoad(ctx.vm, NULL);

  fuzz_one_input(buffer, (size_t)rlen);
  return 0;
}

 

Das kleine Frida-Skript unten lässt AFL++ Eingaben an den Harness weiterleiten. Es injiziert einen winzigen C-Hook, der jeden AFL-Testfall direkt in den Funktionseingabepuffer kopiert, AFL++ genau anzeigt, wo es bei jeder Iteration neu starten soll, und nutzt Fridas Instrumentierung, um die Abdeckung zu sammeln.

Afl.print(`[*] Starting FRIDA config for PID: ${Process.id}`);

// Modules to be instrumented by Frida
const MODULE_WHITELIST = [
  "fuzz_DDGifSlurp",
  "libpl_droidsonroids_gif_fixed.so",
];

// Persistent hook
const hook_module = new CModule(`
  #include <string.h>
  #include <gum/gumdefs.h>

  #define BUF_LEN 65536

  void afl_persistent_hook(GumCpuContext *regs, uint8_t *input_buf,
    uint32_t input_buf_len) {

    uint32_t length = (input_buf_len > BUF_LEN) ? BUF_LEN : input_buf_len;
    memcpy((void *)regs->x[0], input_buf, length);
    regs->x[1] = length;
  }
  `,
  {
    memcpy: Module.getExportByName(null, "memcpy")
  }
);

// Persistent loop start address
const pPersistentAddr = DebugSymbol.fromName("fuzz_one_input").address;

// Exclude from instrumentation
Module.load("libandroid_runtime.so");
new ModuleMap().values().forEach(m => {
  if (!MODULE_WHITELIST.includes(m.name)) {
    Afl.print(`Exclude: ${m.base}-${m.base.add(m.size)} ${m.name}`);
    Afl.addExcludedRange(m.base, m.size);
  }
});

Afl.setEntryPoint(pPersistentAddr);
Afl.setPersistentHook(hook_module.afl_persistent_hook);
Afl.setPersistentAddress(pPersistentAddr);
Afl.setPersistentCount(3000); // Limit how many iterations before reinitializing
                              // the environment
Afl.setInMemoryFuzzing();
Afl.setInstrumentLibraries();
Afl.done();
Afl.print("[*] All done!");

Endlich können wir mit dem Fuzzing auf dem Telefon beginnen.

panther: # su
panther: # cd /sys/devices/system/cpu
panther:/sys/devices/system/cpu # echo performance | tee cpu*/cpufreq/scaling_governor
performance
panther:/sys/devices/system/cpu # cd /data/local/tmp/whatsapp
panther:/data/local/tmp/whatsapp # ./afl-fuzz -O -G 4096 -i in -o out
./fuzz_DDGifSlurp

 

Ich lasse den Fuzzer etwa 7 Stunden laufen, bevor ich den Run beende. Aus der untenstehenden AFL-Ausgabe geht hervor, dass wir über 200 Millionen Testfälle ausgeführt und 29.100 Abstürze aufgezeichnet haben, von denen 42 gespeichert wurden. AFL wendet einige Heuristiken an, die auf dem Signaltyp, der Adresse und den Edges in der Abdeckungskarte basieren, um festzustellen, ob ein Absturz interessant genug ist, um ihn beizubehalten. Das bedeutet nicht, dass jeder dieser Abstürze einzigartig ist.

Screenshot von AFL++ On-Device-Fuzzing
AFL++ On-Device Fuzzing

Crash-Triage

Wenn wir Abstürze untersuchen wollen, können wir die verwundbare Bibliothek um einige zusätzliche Druckanweisungen erweitern, die uns mehr Erkenntnis in das Geschehen innerhalb der DDGifSlurp Decodierungsbedingung geben.

if (decode) {
    // Print raw values used in calculations
    printf("[DEBUG] Image.Width=%u, Image.Height=%u, originalWidth=%u,
originalHeight=%u, currentRasterSize=%u\n",
           (unsigned)gifFilePtr->Image.Width,
           (unsigned)gifFilePtr->Image.Height,
           (unsigned)info->originalWidth,
           (unsigned)info->originalHeight,
           (unsigned)info->rasterSize);

    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr->Image.Height;

    // Pretty-print computed overflow and new raster size
    printf("[DEBUG] widthOverflow=%d, heightOverflow=%d, newRasterSize=%u\n",
           (int)widthOverflow,
           (int)heightOverflow,
           (unsigned)newRasterSize);

    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

Zur Vereinfachung können wir test_DDGifSlurp auch mit ASan neu kompilieren, was uns ausführlichere Informationen darüber liefert, was zur Laufzeit schiefgelaufen ist, ohne dass wir uns unbedingt sofort mit LLBD auseinandersetzen müssen.

➜  cmake \                                                          
    -DANDROID_PLATFORM=31 \
     -DCMAKE_TOOLCHAIN_FILE=/opt/homebrew/share/android-ndk/build/cmake/android.toolchain.cmake \
     -DANDROID_ABI=arm64-v8a \
     -DANDROID_ENABLE_ASAN=ON \
     -DCMAKE_BUILD_TYPE=Debug \
     -DCMAKE_C_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_CXX_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_SHARED_LINKER_FLAGS="-fsanitize=address" \
     -DCMAKE_EXE_LINKER_FLAGS="-fsanitize=address" \
     .
 ➜  make

 

Es gibt einige Varianten dieser Schwachstelle, die je nach Größe und Zusammensetzung der GIF-Rahmen ausgelöst werden können.

Screenshot von Android-Gif-Drawable DDGifSlurp Double-Free
Android-gif-Drawable DDGifSlurp doppelt-frei

In diesem Beispiel sehen wir eine Variante, die fast identisch mit der ist, die Awakened in seinem Blogbeitrag hat.

  • Ausgangszustand: originalWidth hat einen Wert von 16697 und originalHeight hat einen Wert von 65530.
  • Frame 0: Image.Width hat den Wert 32768, was größer ist als originalWidth. Aus diesem Grund wird reallocarray ausgelöst. Da Image.Height jedoch den Wert 0 hat , wird die endgültige RasterSize zu 32768*0 = 0. Aufgrund des internen Verhaltens von reallocarray geben wir stattdessen den Zeiger frei, belassen die baumelnde Referenz und brechen ab.
  • Frame 1: Image.Width hat einen Wert von 65535, ist also wieder größer als originalWidth und Image.Height ist wieder 0, was zum gleichen Verhalten führt, und wir geben denselben Zeiger wieder frei, wodurch ASan ausgelöst wird.

Zusammenfassung

Es ist bekanntermaßen schwierig, Parser korrekt zu implementieren, und es ist leicht, Fehler zu machen oder falsche Annahmen darüber zu treffen, welche Daten der Parser verarbeiten wird. Diese Schwachstelle konnte mithilfe unseres Testsystems sehr leicht wiederentdeckt werden. Tatsächlich wurde der allererste Unfall nur wenige Minuten nach dem Start des Rennens gemeldet.

In Fällen, in denen diese Arten von Bibliotheken in hoch kritischen Anwendungen wie Messaging-Apps enthalten sind, sollten sie auf jeden Fall umfangreichen manuellen und automatisierten Tests unterzogen werden. Wenn Anwendung Ingenieure den Bibliothekscode nicht validieren, ist klar, dass dies Forscher tun werden (und sie können ihre Ergebnisse berichten oder auch nicht, ohne Wertung).

Addendum

Dieser Fehler wurde 2019 gemeldet und behoben, aber ich war neugierig und habe die Problemhistorie des Repositorys genauer untersucht. Zu meiner Überraschung fand ich ein Problem aus dem Jahr 2016, das aufgrund von Inaktivität geschlossen wurde und das mit ziemlicher Sicherheit mit derselben Sicherheitslücke zusammenhängt.

Screenshot eines GitHub-RenderFrame-Absturzes
GitHub RenderFrame stürzt ab

Der Benutzer meldet einen Absturz von Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame. Dies ist die typische Art und Weise, wie die Bibliothek den anfälligen DDGifSlurp-Aufruf verwendet. In unserem System rufen wir diese Funktion nicht auf, weil:

  • Wir müssten ein Java-Bitmap-Objekt erstellen, entweder für jede Iteration oder indem wir ein einzelnes mit einigen Tricks wiederverwenden.
  • Für jede Fuzz-Iteration müssten wir Pixel sperren und entsperren.

Diese Aktionen sind rechenintensiv, wenn wir sie tausend Mal pro Sekunde ausführen, und wir brauchen sie nicht, um die anfällige Funktion auszuüben.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame(JNIEnv *env, jclass __unused
handleClass, jlong gifInfo, jobject jbitmap) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info == NULL)
        return -1;

    long renderStartTime = getRealTime();
    void *pixels;
    if (lockPixels(env, jbitmap, info, &pixels) != 0) {
        return 0;
    }
    DDGifSlurp(info, true, false);
    if (info->currentIndex == 0) {
        prepareCanvas(pixels, info);
    }
    const uint_fast32_t frameDuration = getBitmap(pixels, info);
    unlockPixels(env, jbitmap);
    return calculateInvalidationDelay(info, renderStartTime, frameDuration);
}

 

Ich gehe davon aus, dass viele Forscher in der Vulnerability Forschung (VR) -Community offene und geschlossene GitHub-Probleme aus Open-Source-Bibliotheken beobachten, die von sensiblen Anwendungen geladen werden. Angesichts des hohen Bekanntheitsgrades von WhatsApp als Zielobjekt bin ich vielleicht der Erste, der sich mit diesem und anderen Themen in der Android-Gif-Drawing-Bibliothek befasst. Es würde mich überhaupt nicht überraschen, wenn dieser Fehler schon vor 2019 bekannt wäre.

Verweise

1. Wie ein Double-Free-Bug in WhatsApp zu RCE wird – hier

  • Der ursprüngliche Blogbeitrag von Awakened, in dem die Sicherheitslücke und die Methode zur Ausbeutung beschrieben werden. Der Forscher hat noch einige weitere interessante Artikel auf seinem Blog, aber seltsamerweise gibt es nach dem Beitrag keine neuen Einträge über die WhatsApp-Schwachstelle. Ich bin mir sicher, dass eines der Forschungslabore eine hervorragende Ergänzung für sein Team gewonnen hat!

2. Gepatchte Sicherheitslücke bei der GIF-Verarbeitung beeinträchtigt weiterhin mobile Apps – hier

  • Eine wirklich gute Aufschlüsselung von Trend Micro, in der auch die Auswirkungen auf andere Android-Anwendungen mit veralteten Versionen der Bibliothek analysiert werden.

3. Android Greybox Fuzzing mit AFL++ Frida-Modus – hier

  • Grundlagenwissen zum Fuzzing von JNI-Funktionen in verschiedenen Konfigurationen: nativ, schwach verknüpft und stark verknüpft. Geschrieben von Eric Le Guevel @quarkslab.

4. Fuzzing von Redux mithilfe des AFL++ Frida-Modus auf nativen Android-Bibliotheken – hier

  • Dies ist ein Beitrag, den ich 2024 geschrieben habe und der mehr Hintergrundinformationen über den AFL++ Frida-Mode mit Build-Informationen und Anwendungsbeispielen enthält.

5. Android-gif-drawablehier

