Dieser Beitrag ist teilweise eine Analyse einer doppelten Sicherheitslücke (CVE-2019-11932) in einer von WhatsApp verwendeten Bildverarbeitungsbibliothek und teilweise eine Referenz für die Entwicklung von Kabelbäumen auf dem Gerät bei der Fuzzing nativer Bibliotheken auf Android. Ich habe zum ersten Mal von dieser Sicherheitslücke erfahren, als ich einen Blogbeitrag von Awakened gelesen habe, dem Forscher, der das Problem aufgedeckt hat. Der Autor ging nicht näher darauf ein, wie dieses Problem gefunden wurde, und ich wollte wissen, wie schwer es sein würde, den Fehler erneut zu entdecken. Wie wir sehen werden, ist die Schwachstelle selbst ziemlich oberflächlich und lässt sich leicht reproduzieren, indem man die verwundbare Bibliothek mit AFL++ fuzzt.
Dieses CVE ist besonders interessant, weil der verwundbare Bibliothekscode (android-gif-drawable < v1.2.18) aus der Ferne durch das Senden einer fehlerhaften GIF-Datei ausgelöst werden konnte. Diese primitive Methode war nicht perfekt, da sie darauf beruhte, dass die Zielperson einige manuelle Aktionen durchführte, wie das Öffnen der WhatsApp-Bildergalerie. Darüber hinaus wäre diese Schwachstelle nur ein Teil einer größeren Komponentenkette, die weitere Schwachstellen umfassen würde, beispielsweise zur Durchführung von Informationslecks und zur Eskalation von Berechtigungen. Dennoch sind diese Arten von Schwachstellen selten und teuer, da sie einen potenziellen Wert für menschliche Intelligenz bieten. Dieser Fall verdeutlicht auch, warum es so wichtig ist, dass Anwendungen die Bibliotheken, die sie in ihre Codebasis aufnehmen, überprüfen. Große Unternehmen sollten vielleicht mehr tun, um zur Sicherheit der Open-Source-Software (OSS), die sie in ihren Produkten einsetzen, beizutragen und diese zu verbessern. Ein jüngeres, analoges Beispiel führte zur Offenlegung von fünf Schwachstellen in libxml2.
Basierend auf dem Schwachstellenbericht von Awakenedhabe ich meine Bemühungen auf die GIF-Decodierungsroutine konzentriert. Eine GIF-Datei besteht aus einem Header und einem logischen Bildschirmdeskriptor, gefolgt von einem Strom von Datensätzen für jedes Bild. Diese Datensätze bestehen aus einem Bilddeskriptor (Breite, Höhe, Position und Palette), optionalen Erweiterungsblöcken (Transparenz, Verzögerungen usw.) und komprimierten Pixeldaten. In Decoding.c gibt es eine Funktion, DDGifSlurp, die die GIF-Datensatzströme durchläuft und pro-frame-Metadaten sammelt. Wenn decode=true, werden die Rohpixel pro Frame extrahiert. Normalerweise haben alle Rahmen die gleiche Größe. Das ergibt Sinn, denn wenn man sich ein GIF anschaut, sieht man eine Reihe von Frames in einer Schleife. Wenn Frames dieselbe Größe haben, verwendet die Funktion weiterhin die Zuweisung, die sie zum Speichern des Puffers (RasterBits) erstellt hat. Die Funktion behandelt jedoch Fälle, in denen die Frames eine andere Größe haben, indem sie reallocarray aufruft, um einen neuen Puffer zuzuweisen. Die Funktion realloc ist eine Kombination aus free und malloc. Wenn keine Größe angegeben wird, wird der Zeiger einfach freigegeben.
Commit df309bb - decoding.c hier
Angenommen, der erste Frame hat normale Abmessungen (40 × 10), dann wird ein Puffer von 400 Bytes reserviert. Der zweite Frame hat fehlerhafte Abmessungen ( 0 × 20). In diesem Fall gilt Folgendes:
Wenn reallocarray aufgerufen wird, wird die Allokationsgröße als 0*20=0 berechnet; dies führt dazu, dass rasterBits freigegeben wird. Wenn der dritte Rahmen ähnlich fehlerhafte Abmessungen hat, wird derselbe Zeiger erneut freigegeben, was zu einem Double-Free führt.
Symbole sind wichtig; sie erleichtern die Interpretation dessen, was ein Codeabschnitt bewirkt. Wenn Sie Bibliotheken analysieren, die aus einem Android Package Kit (APK) extrahiert wurden, werden sie höchstwahrscheinlich von Symbolen befreit. In unserem speziellen Fall ist das bei Android-Gif-Drawable kein Problem, weil wir Zugriff auf die Quelle haben. Wenn Sie jedoch eine proprietäre Binärdatei reverse-engineeren müssen, sollten Sie zumindest die Java Native Interface (JNI)-Typen verwenden, um den Forschung zu vereinfachen. Es gibt einen Beitrag von @Ch0pin, den Sie hier lesen können, um etwas mehr Hintergrundwissen zu erhalten. In meinem Fall verwende ich Binary Ninja, und ich habe eine funktionierende Header-Datei gefunden, die hier importiert werden kann.
Um zu verstehen, wie die Typen angewendet werden, können Sie die dekompilierte APK nach nativen Deklarationen durchsuchen. Im untenstehenden Screenshot sehen wir einige der Android-gif-Drawable-Deklarationen aus der APK in JEB.
Nehmen Sie getFrameDuration als Beispiel:
Hier wird J mit jlong und I mit jint übersetzt. Beachten Sie, dass die Funktion auch den Rückgabetyp Jint hat. Wenn wir diese Werte mit der Standard-Aufrufkonvention für native JNI-Aufrufe kombinieren, erhalten wir:
Dieser Prozess lässt sich mit Automatisierung (z. B. mit Androguard, der JEB-API usw.). Mit korrekten Typzuordnungen können Sie programmatisch jede Klasse durchlaufen und alle identifizierten Typen auf die zu analysierende Bibliothek anwenden.
Um die APK zu analysieren, die Aufrufdefinitionen zu extrahieren und sie im bevorzugten Dekompiler anzuwenden, sind einige technische Kenntnisse erforderlich. Dieser Aufwand lohnt sich, denn er reduziert den manuellen Arbeitsaufwand und gibt Ihnen einen Überblick über die Verwendung nativer Bibliotheken in der APK als Ganzes.
Als erstes habe ich (da die Bibliothek Open Source ist) meine eigene Version von android-gif-drawable aus dem Release-Paket v1.2.17 mit Hilfe des Android NDK erstellt. Anschließend habe ich überprüft, welche Exportoptionen in der Binärdatei verfügbar waren:
Dies ist eine hilfreiche Information, da wir wissen, dass wir DDGifSlurp direkt aufrufen können und außerdem die Menge der JNI-exportierten Funktionen sehen können. Wenn wir uns DDGifSlurp noch einmal ansehen, sehen wir, dass das erste Argument ein Zeiger auf einen komplexen Typ, GifInfo, ist.
Commit df309bb - Gif.h hier
Wir könnten manuell ein gefälschtes GifInfo-Objekt erstellen; das Objekt ist jedoch ziemlich groß und selbst eine Zusammensetzung anderer komplexer Typen (wie GifFileType). Stattdessen ist es sinnvoller, die anderen nativen Funktionen zu untersuchen, um zu sehen, wie GifInfo-Objekte üblicherweise erstellt werden. Wir können schnell einige potenzielle Kandidaten finden.
Commit df309bb - gif.c hier
Von diesen scheinen die Byte-Varianten den geringsten Overhead zu haben; insbesondere erfordert openByteArray lediglich die Erstellung eines jbyteArray- Objekts, was in C problemlos möglich ist.
Beachten Sie, dass das GifInfo-Objekt selbst von createGifInfo erstellt wird.
Commit df309bb - init.c hier
Im obigen Codeausschnitt ist zu sehen, dass die Initialisierungsfunktion auch DDGifSlurp aufruft, aber den anfälligen Code nicht auslösen kann, da decode=false. Wenn Sie dieses Flag auf false setzen, wird der isInitialPass-Fall in DDGifSlurp ausgelöst , der nur die Metadaten pro Frame aufzeichnet, ohne die Frames zu analysieren.
Jetzt wissen wir ziemlich genau, wie wir den verwundbaren Codepfad aufrufen können, und wir können eine Reihe von Aufrufen zusammenstellen, um die Funktion zu erreichen, die wir fuzzen wollen.
Allerdings fehlen hier zwei Elemente. Wenn wir Tausende dieser Aufrufketten erstellen, geht uns der Speicher aus und unser Harness stürzt ab. Wir müssen also sicherstellen, dass alle von uns erstellten Ressourcen freigegeben werden. Um dies zu erreichen, können wir eine weitere der von JNI exportierten Funktionen verwenden.
Commit df309bb - dispose.c hier
Das zweite fehlende Element ist viel weniger offensichtlich. Wenn DDGifSlurp das GIF initialisiert, durchläuft es die Liste der Frames und ändert dabei das GifInfo-Objekt . Bevor wir das GIF erneut verarbeiten können, müssen wir es in den ursprünglichen Zustand zurücksetzen. Dadurch wird unsere Position im ByteArrayContainer auf die Startposition zurückgesetzt und einige Eigenschaften des GifInfo- Objekts werden zurückgesetzt, wie unten zu sehen ist.
Commit df309bb - controle.c hier
Unsere letzte Anrufkette sieht so aus:
Wir können ein Test-Binary erstellen, das ein GIF von der Festplatte nimmt und es durch unsere Aufrufkette leitet. Beachten Sie, dass wir eine jenv-Headerdatei (aus diesem Quarkslab-Beitrag) einbinden und außerdem den gif-Header direkt aus der android-gif-drawable-Bibliothek selbst einbinden.
Normalerweise würden wir uns beim Fuzzing in einem von drei Szenarien befinden:
In unserem Fall hat openByteArray einen ziemlich einfachen Prototyp, sodass wir uns in dieser zweiten Kategorie befinden, in der wir die Funktionsargumente aus C ohne zusätzliche Abhängigkeiten erstellen können.
Der obige Code liest ein Bild von der Festplatte, initialisiert die Java Virtual Machine (JVM), erstellt ein jbyteArray und leitet das Bild durch unsere Aufrufkette. Am Ende drucken wir einige Eigenschaften aus dem GifInfo-Objekt , damit wir Metadaten erhalten und bestätigen können, dass der Code fehlerfrei abgeschlossen ist. Später können wir diese Testbinärdatei verwenden, um eventuelle Abstürze zu beheben.
Nachdem wir den schwierigen Teil hinter uns haben, können wir ein Fuzzing-Kabelbaum erstellen, indem wir den Testcode in eine AFL++-Boilerplate einpacken. Im Main initialisieren wir die Java-VM und erstellen dann eine Funktion, die ein Byte-Array als Eingabe nimmt. Diese Funktion führt fuzz_one_input alle notwendigen Aktionen aus, um unsere Aufrufkette einmal mit der bereitgestellten Eingabe zu durchlaufen. Wir werden Frida nutzen, um diese Funktion zu koppeln, damit AFL Eingaben weitergeben und Abdeckung sammeln kann.
Das kleine Frida-Skript unten lässt AFL++ Eingaben an den Harness weiterleiten. Es injiziert einen winzigen C-Hook, der jeden AFL-Testfall direkt in den Funktionseingabepuffer kopiert, AFL++ genau anzeigt, wo es bei jeder Iteration neu starten soll, und nutzt Fridas Instrumentierung, um die Abdeckung zu sammeln.
Endlich können wir mit dem Fuzzing auf dem Telefon beginnen.
Ich lasse den Fuzzer etwa 7 Stunden laufen, bevor ich den Run beende. Aus der untenstehenden AFL-Ausgabe geht hervor, dass wir über 200 Millionen Testfälle ausgeführt und 29.100 Abstürze aufgezeichnet haben, von denen 42 gespeichert wurden. AFL wendet einige Heuristiken an, die auf dem Signaltyp, der Adresse und den Edges in der Abdeckungskarte basieren, um festzustellen, ob ein Absturz interessant genug ist, um ihn beizubehalten. Das bedeutet nicht, dass jeder dieser Abstürze einzigartig ist.
Wenn wir Abstürze untersuchen wollen, können wir die verwundbare Bibliothek um einige zusätzliche Druckanweisungen erweitern, die uns mehr Erkenntnis in das Geschehen innerhalb der DDGifSlurp Decodierungsbedingung geben.
Zur Vereinfachung können wir test_DDGifSlurp auch mit ASan neu kompilieren, was uns ausführlichere Informationen darüber liefert, was zur Laufzeit schiefgelaufen ist, ohne dass wir uns unbedingt sofort mit LLBD auseinandersetzen müssen.
Es gibt einige Varianten dieser Schwachstelle, die je nach Größe und Zusammensetzung der GIF-Rahmen ausgelöst werden können.
In diesem Beispiel sehen wir eine Variante, die fast identisch mit der ist, die Awakened in seinem Blogbeitrag hat.
Es ist bekanntermaßen schwierig, Parser korrekt zu implementieren, und es ist leicht, Fehler zu machen oder falsche Annahmen darüber zu treffen, welche Daten der Parser verarbeiten wird. Diese Schwachstelle konnte mithilfe unseres Testsystems sehr leicht wiederentdeckt werden. Tatsächlich wurde der allererste Unfall nur wenige Minuten nach dem Start des Rennens gemeldet.
In Fällen, in denen diese Arten von Bibliotheken in hoch kritischen Anwendungen wie Messaging-Apps enthalten sind, sollten sie auf jeden Fall umfangreichen manuellen und automatisierten Tests unterzogen werden. Wenn Anwendung Ingenieure den Bibliothekscode nicht validieren, ist klar, dass dies Forscher tun werden (und sie können ihre Ergebnisse berichten oder auch nicht, ohne Wertung).
Dieser Fehler wurde 2019 gemeldet und behoben, aber ich war neugierig und habe die Problemhistorie des Repositorys genauer untersucht. Zu meiner Überraschung fand ich ein Problem aus dem Jahr 2016, das aufgrund von Inaktivität geschlossen wurde und das mit ziemlicher Sicherheit mit derselben Sicherheitslücke zusammenhängt.
Der Benutzer meldet einen Absturz von Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame. Dies ist die typische Art und Weise, wie die Bibliothek den anfälligen DDGifSlurp-Aufruf verwendet. In unserem System rufen wir diese Funktion nicht auf, weil:
Diese Aktionen sind rechenintensiv, wenn wir sie tausend Mal pro Sekunde ausführen, und wir brauchen sie nicht, um die anfällige Funktion auszuüben.
Ich gehe davon aus, dass viele Forscher in der Vulnerability Forschung (VR) -Community offene und geschlossene GitHub-Probleme aus Open-Source-Bibliotheken beobachten, die von sensiblen Anwendungen geladen werden. Angesichts des hohen Bekanntheitsgrades von WhatsApp als Zielobjekt bin ich vielleicht der Erste, der sich mit diesem und anderen Themen in der Android-Gif-Drawing-Bibliothek befasst. Es würde mich überhaupt nicht überraschen, wenn dieser Fehler schon vor 2019 bekannt wäre.
