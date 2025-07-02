Dieser Beitrag ist teilweise eine Analyse einer doppelten Sicherheitslücke (CVE-2019-11932) in einer von WhatsApp verwendeten Bildverarbeitungsbibliothek und teilweise eine Referenz für die Entwicklung von Kabelbäumen auf dem Gerät bei der Fuzzing nativer Bibliotheken auf Android. Ich habe zum ersten Mal von dieser Sicherheitslücke erfahren, als ich einen Blogbeitrag von Awakened gelesen habe, dem Forscher, der das Problem aufgedeckt hat. Der Autor ging nicht näher darauf ein, wie dieses Problem gefunden wurde, und ich wollte wissen, wie schwer es sein würde, den Fehler erneut zu entdecken. Wie wir sehen werden, ist die Schwachstelle selbst ziemlich oberflächlich und lässt sich leicht reproduzieren, indem man die verwundbare Bibliothek mit AFL++ fuzzt.

Dieses CVE ist besonders interessant, weil der verwundbare Bibliothekscode (android-gif-drawable < v1.2.18) aus der Ferne durch das Senden einer fehlerhaften GIF-Datei ausgelöst werden konnte. Diese primitive Methode war nicht perfekt, da sie darauf beruhte, dass die Zielperson einige manuelle Aktionen durchführte, wie das Öffnen der WhatsApp-Bildergalerie. Darüber hinaus wäre diese Schwachstelle nur ein Teil einer größeren Komponentenkette, die weitere Schwachstellen umfassen würde, beispielsweise zur Durchführung von Informationslecks und zur Eskalation von Berechtigungen. Dennoch sind diese Arten von Schwachstellen selten und teuer, da sie einen potenziellen Wert für menschliche Intelligenz bieten. Dieser Fall verdeutlicht auch, warum es so wichtig ist, dass Anwendungen die Bibliotheken, die sie in ihre Codebasis aufnehmen, überprüfen. Große Unternehmen sollten vielleicht mehr tun, um zur Sicherheit der Open-Source-Software (OSS), die sie in ihren Produkten einsetzen, beizutragen und diese zu verbessern. Ein jüngeres, analoges Beispiel führte zur Offenlegung von fünf Schwachstellen in libxml2.

