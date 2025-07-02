Esta publicación es en parte un análisis de una vulnerabilidad sin dobles (CVE-2019-11932) en una biblioteca de procesamiento de imágenes utilizada por WhatsApp y en parte una referencia para el desarrollo de arneses en el dispositivo al fuzzing de bibliotecas nativas en Android. Me enteré de esta vulnerabilidad leyendo una entrada de blog de Awakened, la investigadora que reveló el problema. El autor no explicó cómo se encontró este problema, y quería entender lo difícil que sería redescubrirlo. Como veremos, la vulnerabilidad en sí es bastante superficial y es fácil de reproducir mediante fuzzing de la biblioteca vulnerable con AFL++.
Este CVE es especialmente interesante porque el código vulnerable de la biblioteca (android-gif-drawable < v1.2.18) podía activarse remotamente enviando a alguien un archivo GIF mal deformado. Esta primitiva no era perfecta, ya que dependía de que el objetivo realizara algunas acciones manuales, como abrir la galería de imágenes de WhatsApp. Además, esta vulnerabilidad solo formaría parte de una cadena de componentes más grande que incluiría vulnerabilidades adicionales, por ejemplo, para realizar fugas de información y escalar privilegios. Aún así, este tipo de vulnerabilidades son raras y costosas por el valor potencial de inteligencia humana que proporcionan. Este caso también ilustra por qué es tan importante que las aplicaciones auditen las bibliotecas que incluyen en su base de código. Las grandes empresas quizás deberían hacer más para contribuir y mejorar la seguridad del software de código abierto (OSS) que emplean en sus productos. Un ejemplo más reciente y análogo resultó en la revelación de cinco vulnerabilidades en libxml2.
Basándome en el informe de vulnerabilidades de Awakened, centré mis esfuerzos en la rutina de decodificación de GIF. Un archivo GIF se estructura como un encabezado y un descriptor de pantalla lógico seguido de un flujo de registros para cada fotograma. Estos registros constan de un descriptor de imagen (ancho, alto, posición y paleta), bloques de extensión opcionales (transparencia, retrasos, etc.) y datos de píxeles comprimidos. En decoding.c hay una función, DDGifSlurp, que recorre los flujos de registros GIF y crea metadatos por fotograma. Si decode=true, extrae píxeles sin procesar por fotograma. Normalmente, los marcos son del mismo tamaño. Esto tiene sentido porque cuando miras un GIF, ves una serie de fotogramas que se reproducen en bucle. Cuando los frames tienen el mismo tamaño, la función seguirá reutilizando la asignación que ha creado para almacenar el búfer (rasterBits). Sin embargo, la función maneja los casos en los que los cuadros tienen un tamaño diferente llamando a reallocarray para asignar un nuevo búfer. La función realloc es una combinación de free y malloc. Si no se proporciona ningún tamaño, simplemente se libera el puntero.
Confirmar df309bb - decoding.c aquí
Si imaginamos que el primer fotograma tiene unas dimensiones normales (40*10), se asigna un búfer de 400 bytes. El segundo fotograma tiene unas dimensiones incorrectas ( 0*20). En este caso, se cumple lo siguiente:
Cuando se llama a reallocarray, el tamaño de la asignación se calcula como 0*20=0; esto hace que se liberen los rasterBits. Si el tercer fotograma tiene unas dimensiones igualmente malformadas, libera de nuevo el mismo puntero, lo que resulta en un doble-libre.
Los símbolos son importantes; facilitan la interpretación de lo que está haciendo un fragmento de código. Si analiza bibliotecas que se extrajeron de un Android Package Kit (APK), lo más probable es que se les quiten los símbolos. En nuestro caso particular, para android-gif-drawable, esto no es un problema porque tenemos acceso a la fuente. Sin embargo, si necesita aplicar ingeniería inversa a un binario de código cerrado, al menos debe aplicar los tipos de interfaz nativa de Java (JNI) para que el proceso de investigación sea más sencillo. Hay una publicación de @Ch0pin que puede leer aquí para ponerse un poco más en contexto. En mi caso, estoy utilizando Binary Ninja, y he encontrado un archivo de cabecera de tipo de trabajo que se puede importar aquí.
Para comprender cómo aplicar los tipos, puede buscar declaraciones nativas en el APK descompilado. En la siguiente captura de pantalla, podemos ver algunas de las declaraciones android-gif-drawable del APK en JEB.
Tomemos getFrameDuration como ejemplo:
Aquí, J se traduce por jlong e I por jint. Tenga en cuenta que la función también tiene un tipo de retorno de jint. Si combinamos estos valores con la convención de llamada estándar para la invocación nativa de JNI, terminamos con:
Puede aplicar un poco de automatización a este proceso (mediante Androguard,la API JEB, etc.). Con las asignaciones de tipos adecuadas, puede recorrer cada clase mediante programación y aplicar todos los tipos identificados a la biblioteca que está analizando.
Se requiere algo de ingeniería para analizar el APK, extraer las definiciones de llamadas y aplicarlas en tu descompilador preferido. Este esfuerzo vale la pena porque reduce la cantidad de trabajo manual y puede ofrecerle una visión general de alto nivel del uso de las bibliotecas nativas en el APK en su conjunto.
Lo primero que hice (ya que la biblioteca es de código abierto) fue crear mi propia versión de android-gif-drawable a partir del paquete de lanzamiento v1.2.17 usando el NDK de Android. Luego, revisé qué exportaciones estaban disponibles en el binario:
Esta información es útil porque sabemos que podemos llamar directamente a DDGifSlurp, y también podemos ver el conjunto de funciones exportadas por JNI. Si volvemos a mirar DDGifSlurp, veremos que el primer argumento es un puntero a un tipo complejo, GifInfo.
Confirmar df309bb - gif.h aquí
Podríamos crear manualmente un objeto GifInfo falso; sin embargo, el objeto es bastante grande y es en sí mismo un compuesto de otros tipos complejos (como GifFileType). En cambio, tiene más sentido investigar las otras funciones nativas para ver cómo suelen crearse los objetos GifInfo. Podemos encontrar rápidamente algunos candidatos potenciales.
Confirmar df309bb - gif.c aquí
De ellas, las variantes de bytes parecen tener la menor sobrecarga; en particular, openByteArray solo requiere que creemos un objeto jbyteArray, lo que podemos hacer fácilmente en C.
Tenga en cuenta que el propio objeto GifInfo se crea mediante createGifInfo.
Confirmar df309bb - init.c aquí
En el fragmento de código anterior, puede ver que la función de inicialización también llama a DDGifSlurp, pero no es capaz de activar el código vulnerable porque decode=false. Establecer esta bandera en false activa el caso isInitialPass dentro de DDGifSlurp, que solo registra los metadatos por fotograma sin analizar los fotogramas.
En este momento, sabemos bastante bien cómo llamar a la ruta del código vulnerable y podemos hacer una serie de llamadas para llegar a la función que queremos borrar.
Sin embargo, aquí nos faltan dos elementos. En primer lugar, si creamos miles de estas cadenas de llamadas, nos quedaremos sin memoria y colapsaremos nuestro arnés, por lo que debemos asegurarnos de liberar cualquier recurso que creemos. Para lograr esto, podemos usar otra de las funciones exportadas por JNI.
Confirmar df309bb - dispose.c aquí
El segundo elemento que falta es mucho menos obvio. Cuando DDGifSlurp inicializa el GIF, recorre la lista de fotogramas, modificando el objeto GifInfo a medida que avanza. Antes de que podamos volver a procesar el GIF, debemos rebobinarlo a su estado inicial. Al hacerlo, se restablece nuestra posición en el ByteArrayContainer a la posición inicial y se restablecen algunas propiedades del objeto GifInfo, como puede verse a continuación.
Confirmar df309bb - controle.c aquí
Nuestra cadena de llamadas final se ve así:
Podemos crear un binario de prueba que coja un GIF del disco y lo pase por nuestra cadena de llamadas. Tenga en cuenta que incluimos un archivo de encabezado jenv (obtenido de esta publicación de Quarkslab) y también incluimos el encabezado gif directamente desde la propia biblioteca android-gif-drawable .
Normalmente, para el fuzzing, nos encontraríamos en uno de estos tres escenarios:
En nuestro caso, openByteArray tiene un prototipo bastante sencillo, así que estamos en esta segunda categoría, donde podemos crear los argumentos de función a partir de C sin dependencias adicionales.
El código anterior leerá una imagen del disco, inicializará la máquina virtual Java (JVM), creará un jbyteArray y pasará la imagen a través de nuestra cadena de llamadas. Al final, imprimimos algunas propiedades del objeto GifInfo para obtener algunos metadatos y confirmar que el código se ha ejecutado hasta el final sin errores. Más adelante, podemos usar este binario de prueba para depurar cualquier fallo que encontremos.
Con la parte difícil ya superada, podemos crear un arnés de fuzzing envolviendo el código de prueba en algún código repetitivo de AFL++ . En main, inicializamos la máquina virtual Java y luego creamos una función que toma una matriz de bytes como entrada. Esta función, fuzz_one_input, realizará todas las acciones necesarias para recorrer nuestra cadena de llamadas una vez con la entrada proporcionada. Usaremos Frida para conectar esta función para que AFL pueda pasarle entradas y recopilar cobertura.
El pequeño script de Frida a continuación permite a AFL++ pasar entradas al arnés. Inyecta un pequeño gancho C que copia cada caso de prueba de AFL directamente en el búfer de entrada de la función, le dice a AFL++ exactamente dónde reiniciar en cada iteración y aprovecha la instrumentación de Frida para recopilar cobertura.
Por último, podemos iniciar el fuzzing por teléfono.
Dejé que el fuzzer funcionara durante unas 7 horas antes de terminar la operación. Como podemos ver en el output de AFL a continuación, ejecutamos más de 200 millones de casos de prueba y registramos 29,1 mil fallas, de las cuales 42 se salvaron. AFL aplica algunas heurísticas basadas en el tipo de señal, la dirección de fallas y las edge en el mapa de cobertura para determinar si un bloqueo es lo suficientemente interesante como para mantenerlo. Esto no significa que cada uno de estos accidentes sea único.
Si queremos triar los fallos, podemos aumentar la biblioteca vulnerable añadiendo algunas sentencias de impresión adicionales que nos darán más información sobre lo que ocurre dentro de la condición de decodificación DDGifSlurp.
Para nuestra comodidad, también podemos recompilar test_DDGifSlurp con ASan, lo que nos dará información más verbosa sobre lo que salió mal en tiempo de ejecución sin tener que sumergirnos necesariamente en LLBD de inmediato.
Existen algunas variaciones de esta vulnerabilidad que pueden activarse en función del tamaño y la composición de los fotogramas GIF.
En este ejemplo, podemos ver una variación que es casi idéntica a la que tiene Awakened en su entrada de blog.
Obviamente, es difícil hacer funcionar correctamente los analizadores y es fácil cometer errores o tener suposiciones erróneas sobre qué datos procesará el analizador. Esta vulnerabilidad fue muy fácil de redescubrir con nuestro arnés. De hecho, el primer accidente se reportó apenas unos minutos después del inicio de la carrera.
En los casos en que este tipo de bibliotecas se incluyan en aplicaciones altamente críticas para la seguridad, como las aplicaciones de mensajería, deben someterse a extensas pruebas manuales y automatizadas. Si los ingenieros de aplicaciones no validan el código de bibliotecas, está claro que los investigadores sí lo harán (y puede que no informen sus hallazgos, sin juicios).
Este error se informó y solucionó en 2019, pero tenía curiosidad e investigué un poco sobre el historial de problemas del repositorio. Para mi sorpresa, encontré un problema de 2016 que se cerró debido a la inactividad, que casi con certeza se relaciona con esta misma vulnerabilidad.
El usuario informa de un fallo de Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame, que es la forma típica en que la biblioteca utiliza la vulnerable llamada DDGifSlurp. En nuestro arnés, no llamamos a esta función porque:
Estas acciones requieren mucho cálculo si las realizamos miles de veces por segundo, y no las necesitamos para ejercer la función vulnerable.
Supongo que muchos investigadores de la comunidad de investigación de vulnerabilidades (VR) están monitorizando los problemas abiertos y cerrados de GitHub desde las bibliotecas de código abierto que cargan aplicaciones sensibles. Dado el alto perfil de WhatsApp como objetivo, es dudoso que sea el primero en analizar este problema específico, y otros, en la biblioteca android-gif-drawable. No me sorprendería en absoluto que este error se conociera antes de 2019.
