Balises
Sécurité

Reproduction d’un bug d’un million de dollars : WhatsApp CVE-2019-11932 (avec AFL & Frida)

Gros plan sur les mains d’une femme tenant un smartphone et envoyant des textos devant un T-shirt jaune

Auteurs

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

Introduction

Cet article est en partie une analyse d’une vulnérabilité de type double-free (CVE-2019-11932) dans une bibliothèque de traitement d’image utilisée par WhatsApp et en partie une référence pour le développement de harnais sur appareil lors du fuzzing de bibliothèques natives sur Android. J’ai découvert cette vulnérabilité pour la première fois en lisant un article de blog d’Awakened, le chercheur qui a révélé le problème. L’auteur n’a pas expliqué comment ce problème avait été détecté, et je voulais comprendre à quel point il serait difficile de redécouvrir le bogue. Comme nous allons le voir, la vulnérabilité elle-même est assez superficielle et facile à reproduire en fuzzant la bibliothèque vulnérable avec AFL++.

Cette CVE est particulièrement intéressante car le code de la bibliothèque vulnérable (android-gif-drawable < v1.2.18) pourrait être déclenché à distance en envoyant à quelqu’un un fichier GIF malformé. Cette primitive n’était pas parfaite car elle dépendait d’une action manuelle de la cible, comme l’ouverture de la galerie d’images WhatsApp. De plus, cette vulnérabilité ne serait qu’une partie d’une chaîne plus vaste qui inclurait des vulnérabilités supplémentaires, par exemple pour provoquer des fuites d’informations et élever les privilèges. Pourtant, ces types de vulnérabilités sont rares et coûteux en raison de la valeur potentielle qu’ils apportent en termes de renseignement d’origine humaine. Ce cas illustre également pourquoi il est si important que les applications auditent les bibliothèques qu’elles incluent dans leur base de code. Les grandes entreprises devraient peut-être faire davantage pour contribuer à améliorer la sécurité des logiciels open source qu’elles utilisent dans leurs produits. Un exemple plus récent et analogue a conduit à la divulgation de cinq vulnérabilités dans libxml2.

Analyse de la cause racine (RCA) du CVE-2019-11932

En me basant sur l’article d’Awakenedsur la vulnérabilité, j’ai concentré mes efforts sur la routine de décodage GIF. Un fichier GIF se compose d’un en-tête et d’un descripteur d’écran logique, suivis d’un flux d’enregistrements pour chaque image. Ces enregistrements se composent d’un descripteur d’image (largeur, hauteur, position et palette), de blocs d’extension facultatifs (transparence, délais, etc.) et de données de pixels compressées. Dans decoding.c, il existe une fonction, DDGifSlurp, qui parcourt les flux d’enregistrements GIF et compile des métadonnées par image. Si decode=true, elle extrait les pixels bruts par image. Normalement, les images sont de la même taille. C’est logique, car lorsque vous regardez un GIF, vous voyez une série d’images jouées en boucle. Lorsque la taille des images est la même, la fonction continue de réutiliser l’allocation qu’elle a créée pour stocker le tampon (rasterBits). Cependant, la fonction gère les cas où les images sont d’une taille différente en appelant reallocarray pour allouer un nouveau tampon. La fonction realloc est une combinaison des fonctions free et malloc.Si aucune taille n’est fournie, elle libère simplement le pointeur.

Commit df309bb - decoding.c ici

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame) {
    GifRecordType RecordType;
    GifByteType *ExtData;
    int ExtFunction;
    GifFileType *gifFilePtr;
    gifFilePtr = info->gifFilePtr;
    uint_fast32_t lastAllocatedGCBIndex = 0;

...

if (decode) {
    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr-
->Image.Height;
    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

Si l’on imagine que la première image a des dimensions normales, 40 × 10, un tampon de 400 octets est alloué. La seconde image a des dimensions incorrectes, 0 × 20. Dans ce cas, ce qui suit est vrai :

  • widthOverflow est faux
  • heightOverflow est vrai
  • newRasterSize est 0

Lorsque reallocarray est appelé, la taille de l’allocation est calculée comme suit : 0*20=0 ; cela entraîne la libération de rasterBits. Si la troisième image a des dimensions malformées similaires, elle libère à nouveau le même pointeur, ce qui entraîne un double-free.

android-gif-drawable

Symboles

Les symboles sont importants ; ils permettent d’interpréter plus facilement le contenu d’un code. Si vous analysez des bibliothèques extraites d’un kit d’installation Android (APK), il est fort probable qu’elles soient dépourvues de symboles. Dans notre cas particulier, pour android-gif-drawable, ce n’est pas un problème, car nous avons accès à la source. Toutefois, si vous devez procéder à l’ingénierie inverse d’un binaire à code source fermé, vous devriez au moins appliquer les types de l’interface native Java (JNI) afin de rendre le processus de recherche plus simple. Il y a un article de @Ch0pin que vous pouvez lire ici pour avoir plus de contexte. Dans mon cas, j’utilise Binary Ninja, et j’ai trouvé un fichier d’en-tête de types fonctionnel qui peut être importé ici.

Pour comprendre comment appliquer les types, vous pouvez rechercher les déclarations natives dans l’APK décompilé. Dans la capture d’écran ci-dessous, nous pouvons voir certaines des déclarations android-gif-drawable de l’APK dans JEB.

Capture d’écran du bytecode JEB Dalvik
Bytecode JEB Dalvik

Prenons getFrameDuration comme exemple :

.method public static native getFrameDuration(J, I)I
.end method

 

Ici, J se traduit par jlong et I par jint. Notez que la fonction possède également un type de retour jint. Si nous combinons ces valeurs avec la convention d’appel standard pour l’invocation JNI native, nous obtenons :

jint getFrameDuration(JNIEnv* env, jclass clazz, jlong arg0, jint arg1)

 

Vous pouvez appliquer une automatisation à ce processus (en utilisant androguard, JEB API, etc). Avec des mappages de types appropriés, vous pouvez parcourir chaque classe de manière programmatique et appliquer tous les types identifiés à la bibliothèque que vous analysez.

Extraction et application de symboles JNI à une base de données Binary Ninja
Extraction et application de symboles JNI à une base de données Binary Ninja

Une certaine ingénierie est nécessaire pour analyser l’APK, extraire les définitions d’appel et les appliquer dans votre décompilateur préféré. Cet effort en vaut la peine, car il réduit la quantité de travail manuel et vous donne une vue d’ensemble de l’utilisation des bibliothèques natives dans l’APK.

capture d’écran du code natif décompilé de Binary Ninja
Code natif décompilé par Binary Ninja
Homme regardant un ordinateur

Renforcez vos renseignements de sécurité  

Gardez une longueur d’avance sur les menaces grâce à l’actualité et aux réflexions sur la sécurité, l’IA et bien plus encore, dans la newsletter hebdomadaire Think.  

Fuzzing DDGifSlurp

Comment atteindre notre fonction cible ?

La première chose que j’ai faite (puisque la bibliothèque est open source) a été de concevoir ma propre version d’android-gif-drawable à partir du package v1.2.17 en utilisant le NDK Android. Ensuite, j’ai examiné quelles exportations étaient disponibles en fichier binaire :

➜ nm -D lib/libpl_droidsonroids_gif_fixed.so | awk '$3 ~ /^D/ || $3 ~ /^Java_pl_/'
 0000000000006214 T DDGifSlurp
 000000000000ad14 T DGifCloseFile
 000000000000ac58 T DGifExtensionToGCB
 000000000000a91c T DGifGetCodeNext
 000000000000aa68 T DGifGetExtension
 000000000000ab20 T DGifGetExtensionNext
 0000000000009cc0 T DGifGetImageDesc
 000000000000a254 T DGifGetLine
 0000000000009b98 T DGifGetRecordType
 000000000000989c T DGifGetScreenDesc
 0000000000009644 T DGifOpen
 000000000000bb90 T DetachCurrentThread
 000000000000d53c T Java_pl_droidsonroids_gif_GifInfoHandle_bindSurface
 0000000000009314 T
Java_pl_droidsonroids_gif_GifInfoHandle_createTempNativeFileDescriptor
 00000000000091ac T
Java_pl_droidsonroids_gif_GifInfoHandle_extractNativeFileDescriptor
 0000000000006d20 T Java_pl_droidsonroids_gif_GifInfoHandle_free
 000000000000c238 T Java_pl_droidsonroids_gif_GifInfoHandle_getAllocationByteCount
 000000000000bd74 T Java_pl_droidsonroids_gif_GifInfoHandle_getComment
 000000000000c578 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentFrameIndex
 000000000000c528 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentLoop
 000000000000c008 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentPosition
 000000000000bf00 T Java_pl_droidsonroids_gif_GifInfoHandle_getDuration
 000000000000caa4 T Java_pl_droidsonroids_gif_GifInfoHandle_getFrameDuration
 000000000000cbc0 T Java_pl_droidsonroids_gif_GifInfoHandle_getHeight
 000000000000be68 T Java_pl_droidsonroids_gif_GifInfoHandle_getLoopCount
 000000000000c15c T Java_pl_droidsonroids_gif_GifInfoHandle_getMetadataByteCount
 000000000000c4d4 T Java_pl_droidsonroids_gif_GifInfoHandle_getNativeErrorCode
 000000000000cc14 T Java_pl_droidsonroids_gif_GifInfoHandle_getNumberOfFrames
 000000000000c5cc T Java_pl_droidsonroids_gif_GifInfoHandle_getSavedState
 000000000000bfb4 T Java_pl_droidsonroids_gif_GifInfoHandle_getSourceLength
 000000000000cb6c T Java_pl_droidsonroids_gif_GifInfoHandle_getWidth
 000000000000cc68 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexImage2D
 000000000000cd50 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexSubImage2D
 000000000000ce38 T Java_pl_droidsonroids_gif_GifInfoHandle_initTexImageDescriptor
 000000000000bde4 T Java_pl_droidsonroids_gif_GifInfoHandle_isAnimationCompleted
 000000000000cb10 T Java_pl_droidsonroids_gif_GifInfoHandle_isOpaque
 00000000000084cc T Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
 00000000000087a4 T Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
 0000000000008278 T Java_pl_droidsonroids_gif_GifInfoHandle_openFile
 0000000000009340 T Java_pl_droidsonroids_gif_GifInfoHandle_openNativeFileDescriptor
 0000000000008ab8 T Java_pl_droidsonroids_gif_GifInfoHandle_openStream
 000000000000e354 T Java_pl_droidsonroids_gif_GifInfoHandle_postUnbindSurface
 00000000000057dc T Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame
 000000000000597c T Java_pl_droidsonroids_gif_GifInfoHandle_reset
 000000000000611c T Java_pl_droidsonroids_gif_GifInfoHandle_restoreRemainder
 000000000000c9d8 T Java_pl_droidsonroids_gif_GifInfoHandle_restoreSavedState
 000000000000603c T Java_pl_droidsonroids_gif_GifInfoHandle_saveRemainder
 0000000000005f6c T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrame
 000000000000d4d0 T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrameGL
 0000000000005ccc T Java_pl_droidsonroids_gif_GifInfoHandle_seekToTime
 000000000000beb8 T Java_pl_droidsonroids_gif_GifInfoHandle_setLoopCount
 000000000000b948 T Java_pl_droidsonroids_gif_GifInfoHandle_setOptions
 00000000000059e4 T Java_pl_droidsonroids_gif_GifInfoHandle_setSpeedFactor
 000000000000cfa0 T Java_pl_droidsonroids_gif_GifInfoHandle_startDecoderThread
 000000000000d374 T Java_pl_droidsonroids_gif_GifInfoHandle_stopDecoderThread

 

Cette information est utile car nous savons que nous pouvons appeler DDGifSlurp directement, et nous pouvons également voir l’ensemble des fonctions exportées par JNI. Si nous regardons à nouveau DDGifSlurp, nous voyons que le premier argument est un pointeur sur un type complexe, GifInfo.

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame)

 

Commit df309bb - gif.h ici

struct GifInfo {
    void (*destructor)(GifInfo *, JNIEnv *);
    GifFileType *gifFilePtr;
    GifWord originalWidth, originalHeight;
    uint_fast16_t sampleSize;
    long long lastFrameRemainder;
    long long nextStartTime;
    uint_fast32_t currentIndex;
    GraphicsControlBlock *controlBlock;
    argb *backupPtr;
    long long startPos;
    unsigned char *rasterBits;
    uint_fast32_t rasterSize;
    char *comment;
    uint_fast16_t loopCount;
    uint_fast16_t currentLoop;
    RewindFunc rewindFunction;
    jfloat speedFactor;
    uint32_t stride;
    jlong sourceLength;
    bool isOpaque;
    void *frameBufferDescriptor;
};

 

Nous pourrions créer manuellement un faux objet GifInfo. Cependant, l’objet est assez volumineux et est lui-même un composite d’autres types complexes (comme GifFileType). Il est plus judicieux d’étudier les autres fonctions natives pour voir comment les objets GifInfo sont généralement créés. Nous pouvons rapidement trouver des candidats potentiels.

Commit df309bb - gif.c ici

Java_pl_droidsonroids_gif_GifInfoHandle_openFile
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
Java_pl_droidsonroids_gif_GifInfoHandle_openStream

 

Parmi celles-ci, les variantes d’octets semblent avoir le moins de surcharge ; en particulier, openByteArray nécessite seulement de créer un objet jbyteArray, ce que nous pouvons faire facilement en C.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, jclass __unused
class, jbyteArray bytes) {
    if (isSourceNull(bytes, env)) {
        return NULL_GIF_INFO;
    }
    ByteArrayContainer *container = malloc(sizeof(ByteArrayContainer));
    if (container == NULL) {
        throwException(env, OUT_OF_MEMORY_ERROR, OOME_MESSAGE);
        return NULL_GIF_INFO;
    }
    container->buffer = (*env)->NewGlobalRef(env, bytes);
    if (container->buffer == NULL) {
        free(container);
        throwException(env, RUNTIME_EXCEPTION_BARE, "NewGlobalRef failed");
        return NULL_GIF_INFO;
    }
    container->length = (unsigned int) (*env)->GetArrayLength(env, container->buffer);
    container->position = 0;
    GifSourceDescriptor descriptor = {
            .rewindFunc = byteArrayRewind,
            .sourceLength = container->length
    };
    descriptor.GifFileIn = DGifOpen(container, &byteArrayRead, &descriptor.Error);
    descriptor.startPos = container->position;

    GifInfo *info = createGifInfo(&descriptor, env);

    if (info == NULL) {
        (*env)->DeleteGlobalRef(env, container->buffer);
        free(container);
    }
    return (jlong) (intptr_t) info;
}

 

Notez que l’objet GifInfo lui-même est créé par createGifInfo.

Commit df309bb - init.c ici

GifInfo *createGifInfo(GifSourceDescriptor *descriptor, JNIEnv *env) {
    if (descriptor->startPos < 0) {
        descriptor->Error = D_GIF_ERR_NOT_READABLE;
    }
    if (descriptor->Error != 0 || descriptor->GifFileIn == NULL) {
        bool readErrno = descriptor->rewindFunc == fileRewind && (descriptor->Error ==
D_GIF_ERR_NOT_READABLE || descriptor->Error == D_GIF_ERR_READ_FAILED);
        throwGifIOException(descriptor->Error, env, readErrno);
        DGifCloseFile(descriptor->GifFileIn);
        return NULL;
    }

    GifInfo *info = malloc(sizeof(GifInfo));

...

    DDGifSlurp(info, false, false);
    info->rasterBits = NULL;
    info->rasterSize = 0;
    info->originalHeight = info->gifFilePtr->SHeight;
    info->originalWidth = info->gifFilePtr->SWidth;

...

Dans l’extrait de code ci-dessus, vous pouvez voir que la fonction d’initialisation appelle également DDGifSlurp, mais qu’elle n’est pas en mesure de déclencher le code vulnérable parce que decode=false. La définition de ce drapeau à false déclenche le cas isInitialPass dans DDGifSlurp, qui enregistre uniquement les métadonnées par image sans analyser les images.

À ce stade, nous comprenons assez bien comment appeler le chemin de code vulnérable, et nous pouvons assembler une série d’appels pour atteindre la fonction que nous voulons fuzzer.

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ DDGifSlurp

 

Cependant, il nous manque deux éléments. Tout d’abord, si nous créons des milliers de ces chaînes d’appels, nous allons manquer de mémoire et faire planter notre harnais, nous devons donc nous assurer de libérer toutes les ressources que nous créons. Pour y parvenir, nous pouvons utiliser une autre des fonctions exportées par JNI.

Commit df309bb - dispose.c ici

Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass __unused handleClass, jlong gifInfo)

 

Le deuxième élément manquant est bien moins évident. Lorsque DDGifSlurp initialise le GIF, il parcourt la liste des images, en modifiant l’objet GifInfo au fur et à mesure. Avant de pouvoir traiter à nouveau le GIF, nous devons le rembobiner à son état initial. Cela réinitialise notre position dans le ByteArrayContainer à la position de départ et réinitialise certaines propriétés de l’objet GifInfo, comme on peut le voir ci-dessous.

Commit df309bb - controle.c ici

bool reset(GifInfo *info) {
    if (info->rewindFunction(info) != 0) {
        return false;
    }
    info->nextStartTime = 0;
    info->currentLoop = 0;
    info->currentIndex = 0;
    info->lastFrameRemainder = -1;
    return true;
}

__unused JNIEXPORT jboolean JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *__unused  env, jclass  __unused
class, jlong gifInfo) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info != NULL && reset(info)) {
        return JNI_TRUE;
    }
    return JNI_FALSE;
}

 

Notre chaîne d’appel finale ressemble à ceci :

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ Java_pl_droidsonroids_gif_GifInfoHandle_reset
     |_ DDGifSlurp
       |_ Java_pl_droidsonroids_gif_GifInfoHandle_free

Tester nos hypothèses

Nous pouvons créer un binaire de test qui prendra un GIF sur le disque et le fera passer par notre chaîne d’appels. Notez que nous incluons un fichier d’en-tête jenv (provenant de cet article de Quarkslab), et que nous incluons également l’en-tête gif directement depuis la bibliothèque android-gif-drawable elle-même.

En général, pour le fuzzing, nous serions dans l’un des trois scénarios suivants :

  • Nous fuzzons du code de bibliothèque natif pur ; nous n’avons aucune dépendance.
  • Nous dépendons de la JNINativeInterface (JNIEnv), mais nous pouvons créer manuellement tous les arguments de fonction dont nous avons besoin pour appeler notre code natif (par exemple, jbyteArray).
  • Nous dépendons d’un objet Java complexe que nous ne pouvons pas créer en C. Dans ce cas, nous devons charger l’APK ou une classe Java compilée sur mesure pour construire nos arguments.

Dans notre cas, openByteArray a un prototype assez simple, donc nous sommes dans cette deuxième catégorie, où nous sommes capables de créer les arguments de fonction en C sans dépendances supplémentaires.

#include <errno.h>
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <stdbool.h>
#include <string.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

/* JNI symbols we call directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, class
clazz, jbyteArray bytes);
extern void  Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass clazz,
jlong gifInfo);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *env, class
clazz, jlong gifInfo);
extern jint JNI_OnLoad(JavaVM *vm, void *reserved);

static JavaCTX ctx;

/**
 * read_file - read an entire file into a memory buffer
 * @path: path to the input file
 * @out_len: pointer to size_t where the number of bytes read will be stored
 * Returns a pointer to the data, or NULL on error.
 * Caller is responsible for freeing the returned buffer.
 */
static uint8_t *read_file(const char *path, size_t *out_len) {
    FILE *f = fopen(path, "rb");
    if (!f) return NULL;
    fseek(f, 0, SEEK_END);
    long sz = ftell(f);
    rewind(f);
    if (sz <= 0) { fclose(f); return NULL; }
    uint8_t *buf = malloc((size_t)sz);
    if (!buf) { fclose(f); return NULL; }
    if (fread(buf, 1, (size_t)sz, f) != (size_t)sz) { free(buf); fclose(f); return
NULL; }
    fclose(f);
    *out_len = (size_t)sz;
    return buf;
}

/**
 * main - read a GIF file, run DDGifSlurp to trigger CVE-2019-11932, and print results
 * @argc: number of command-line arguments
 * @argv: argument vector, expects GIF file path as argv[1]
 * Returns exit code, 0 on success, non-zero on error
 */
int main(int argc, char *argv[]) {
    if (argc != 2) {
        fprintf(stderr, "Usage: %s <gif_path>\n", argv[0]);
        return 1;
    }
    const char *input_path = argv[1];
    /* 1. Read GIF from disk */
    size_t len = 0;
    uint8_t *data = read_file(input_path, &len);
    if (!data) {
        fprintf(stderr, "[-] Failed to read %s\n", input_path);
        return 1;
    }


    /* 2. Initialize Java VM without custom options */
    if (init_java_env(&ctx, NULL, 0) != 0) {
        fprintf(stderr, "[-] init_java_env failed\n");
        free(data);
        return 1;
    }

    /* get JNIEnv */
    JNIEnv *e = ctx.env;

    /* 3. Ensure GIF library's JNI_OnLoad runs to set up g_jvm */
    JNI_OnLoad(ctx.vm, NULL);

    /* 4. Single open-decode-free cycle */

    /* Create Java byte[] */
    jbyteArray arr = (*e)->NewByteArray(e, (jsize)len);
    if (!arr) {
        fprintf(stderr, "[-] NewByteArray failed\n");
        free(data);
        return 1;
    }
    (*e)->SetByteArrayRegion(e, arr, 0, (jsize)len, (const jbyte *)data);

    /* open */
    jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(e, NULL, arr);
    (*e)->DeleteLocalRef(e, arr);
    if ((*e)->ExceptionCheck(e) || gptr == 0) {
        fprintf(stderr, "[-] openByteArray failed\n");
        (*e)->ExceptionClear(e);
        free(data);
        return 1;
    }

    /* rewind */
    Java_pl_droidsonroids_gif_GifInfoHandle_reset(e, NULL, gptr);

    /* decode (vulnerable) */
    DDGifSlurp((GifInfo *)(intptr_t)gptr, true, false);

    /* print some info */
    GifInfo *info = (GifInfo *)(intptr_t)gptr;
    printf("[+] GifInfo at %p: %lu x %lu, %lu frames, loop %lu, error %d\n",
           (void*)info,
           (unsigned long)info->originalWidth,
           (unsigned long)info->originalHeight,
           (unsigned long)info->gifFilePtr->ImageCount,
           (unsigned long)info->loopCount,
           (int)info->gifFilePtr->Error);

    /* free */
    Java_pl_droidsonroids_gif_GifInfoHandle_free(e, NULL, gptr);
    (*e)->ExceptionClear(e);
    free(data);
    return 0;
}

Le code ci-dessus lit une image à partir du disque, initialise la machine virtuelle Java (JVM), crée un jbyteArray et fait passer l’image par notre chaîne d’appel. À la fin, nous imprimons certaines propriétés de l’objet GifInfo pour obtenir des métadonnées et confirmer que le code a été exécuté jusqu’au bout sans erreur. Plus tard, nous pourrons utiliser ce binaire de test pour corriger les éventuels bugs que nous trouverons.

capture d’écran de l’exécution du test DDGifSlurp
Exécution du test DDGifSlurp

Construction d’un harnais

Une fois la partie difficile derrière nous, nous pouvons créer un harnais de fuzzing en enveloppant le code de test dans du code standard AFL++. Dans main, nous initialisons la machine virtuelle Java, puis créons une fonction qui prend un tableau d’octets en entrée. Cette fonction, fuzz_one_input, effectuera toutes les actions nécessaires pour parcourir notre chaîne d’appels une fois avec l’entrée fournie. Nous utiliserons Frida pour hooker cette fonction afin qu’AFL puisse lui transmettre des entrées et collecter la couverture.

#include <errno.h>
#include <stdio.h>
#include <stdint.h>
#include <jni.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

#define BUFFER_SIZE 65536

/* JNI symbols we invoke directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *, class,
jbyteArray);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *, class,
jlong);
extern void Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *, jclass, jlong);
extern jint JNI_OnLoad(JavaVM *, void *);

static JavaCTX ctx;

/*
 * fuzz_one_input – entry used by Frida-AFL persistent mode.
 * Creates a GifInfo from the fuzz data, rewinds the stream, runs a full
 * decode with DDGifSlurp, then frees the structure.
 */
__attribute__((visibility("default")))
void fuzz_one_input(const uint8_t *data, size_t len) {
  JNIEnv *env = ctx.env;
  if (len < 6) return; /* need at least GIF header */

  /* Create Java byte[] */
  jbyteArray arr = (*env)->NewByteArray(env, (jsize)len);
  if (!arr) return;
  (*env)->SetByteArrayRegion(env, arr, 0, (jsize)len, (const jbyte *)data);

  /* GifInfoHandle.openByteArray */
  jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(env, NULL, arr);
  (*env)->DeleteLocalRef(env, arr);
  if ((*env)->ExceptionCheck(env) || gptr == 0) {
    (*env)->ExceptionClear(env);
    return;
  }

  /* Rewind so decode starts at offset 0 */
  Java_pl_droidsonroids_gif_GifInfoHandle_reset(env, NULL, gptr);

  /* Full decode – this is where CVE-2019-11932 triggers */
  GifInfo *info = (GifInfo *)(intptr_t)gptr;
  DDGifSlurp(info, true, false);

  /* Cleanup */
  Java_pl_droidsonroids_gif_GifInfoHandle_free(env, NULL, gptr);
  (*env)->ExceptionClear(env);
}

/**
 * main - AFL-Frida fuzzing harness entry point
 *
 * Reads up to BUFFER_SIZE bytes from stdin, initializes the Java VM,
 * invokes fuzz_one_input for persistent-mode decoding, and exits.
 *
 * Return: 0 on success (no crash or crash handled by AFL),
 *         non-zero on initialization or read error.
 */
int main(void) {
  uint8_t buffer[BUFFER_SIZE];
  ssize_t rlen = fread(buffer, 1, sizeof buffer, stdin);
  if (rlen == -1) return errno;

  /* Start JVM with default options */
  if (init_java_env(&ctx, NULL, 0) != 0) return 1;

  /* Ensure gif library initialises its global JVM pointer */
  JNI_OnLoad(ctx.vm, NULL);

  fuzz_one_input(buffer, (size_t)rlen);
  return 0;
}

 

Le petit script Frida ci-dessous permet à AFL++ de transmettre des entrées au harnais. Il injecte un petit hook C qui copie chaque cas de test AFL directement dans le tampon d’entrée de la fonction, indique à AFL++ exactement où redémarrer à chaque itération et tire parti de l’instrumentation de Frida pour collecter la couverture.

Afl.print(`[*] Starting FRIDA config for PID: ${Process.id}`);

// Modules to be instrumented by Frida
const MODULE_WHITELIST = [
  "fuzz_DDGifSlurp",
  "libpl_droidsonroids_gif_fixed.so",
];

// Persistent hook
const hook_module = new CModule(`
  #include <string.h>
  #include <gum/gumdefs.h>

  #define BUF_LEN 65536

  void afl_persistent_hook(GumCpuContext *regs, uint8_t *input_buf,
    uint32_t input_buf_len) {

    uint32_t length = (input_buf_len > BUF_LEN) ? BUF_LEN : input_buf_len;
    memcpy((void *)regs->x[0], input_buf, length);
    regs->x[1] = length;
  }
  `,
  {
    memcpy: Module.getExportByName(null, "memcpy")
  }
);

// Persistent loop start address
const pPersistentAddr = DebugSymbol.fromName("fuzz_one_input").address;

// Exclude from instrumentation
Module.load("libandroid_runtime.so");
new ModuleMap().values().forEach(m => {
  if (!MODULE_WHITELIST.includes(m.name)) {
    Afl.print(`Exclude: ${m.base}-${m.base.add(m.size)} ${m.name}`);
    Afl.addExcludedRange(m.base, m.size);
  }
});

Afl.setEntryPoint(pPersistentAddr);
Afl.setPersistentHook(hook_module.afl_persistent_hook);
Afl.setPersistentAddress(pPersistentAddr);
Afl.setPersistentCount(3000); // Limit how many iterations before reinitializing
                              // the environment
Afl.setInMemoryFuzzing();
Afl.setInstrumentLibraries();
Afl.done();
Afl.print("[*] All done!");

Enfin, nous pouvons lancer le fuzzing sur le téléphone.

panther: # su
panther: # cd /sys/devices/system/cpu
panther:/sys/devices/system/cpu # echo performance | tee cpu*/cpufreq/scaling_governor
performance
panther:/sys/devices/system/cpu # cd /data/local/tmp/whatsapp
panther:/data/local/tmp/whatsapp # ./afl-fuzz -O -G 4096 -i in -o out
./fuzz_DDGifSlurp

 

J’ai laissé le fuzzer tourner pendant environ 7 heures avant d’arrêter l’exécution. Comme le montre la sortie AFL ci-dessous, nous avons exécuté plus de 200 millions de cas de test et enregistré 29 100 plantages, dont 42 ont été sauvegardés. AFL applique certaines heuristiques basées sur le type de signal, l’adresse de l’erreur et les arêtes de la carte de couverture pour déterminer si un plantage est suffisamment intéressant pour être conservé. Cela ne signifie pas que chacun de ces plantages est unique.

Capture d’écran du fuzzing AFL++ sur l’appareil
AFL++ sur l’appareil

Triage des plantages

Si nous voulons trier les crashs, nous pouvons augmenter la bibliothèque vulnérable en ajoutant des instructions d’affichage supplémentaires qui nous donneront plus d’informations sur ce qui se passe à l’intérieur de la condition de decode de DDGifSlurp.

if (decode) {
    // Print raw values used in calculations
    printf("[DEBUG] Image.Width=%u, Image.Height=%u, originalWidth=%u,
originalHeight=%u, currentRasterSize=%u\n",
           (unsigned)gifFilePtr->Image.Width,
           (unsigned)gifFilePtr->Image.Height,
           (unsigned)info->originalWidth,
           (unsigned)info->originalHeight,
           (unsigned)info->rasterSize);

    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr->Image.Height;

    // Pretty-print computed overflow and new raster size
    printf("[DEBUG] widthOverflow=%d, heightOverflow=%d, newRasterSize=%u\n",
           (int)widthOverflow,
           (int)heightOverflow,
           (unsigned)newRasterSize);

    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

Pour plus de commodité, nous pouvons également recompiler test_DDGifSlurp avec ASan, ce qui nous donnera des informations plus détaillées sur ce qui n’a pas fonctionné à l’exécution sans avoir à plonger immédiatement dans le LLDB.

➜  cmake \                                                          
    -DANDROID_PLATFORM=31 \
     -DCMAKE_TOOLCHAIN_FILE=/opt/homebrew/share/android-ndk/build/cmake/android.toolchain.cmake \
     -DANDROID_ABI=arm64-v8a \
     -DANDROID_ENABLE_ASAN=ON \
     -DCMAKE_BUILD_TYPE=Debug \
     -DCMAKE_C_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_CXX_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_SHARED_LINKER_FLAGS="-fsanitize=address" \
     -DCMAKE_EXE_LINKER_FLAGS="-fsanitize=address" \
     .
 ➜  make

 

Quelques variantes de cette vulnérabilité peuvent être déclenchées en fonction de la taille et de la composition des images GIF.

Capture d’écran de android-gif-drawable DDGifSlurp double-free
android-gif-drawable DDGifSlurp double-free

Dans cet exemple, on peut voir une variation presque identique à celle d’Awakened dans son article de blog.

  • État initial : la valeur de originalWidth est de 16697 et celle de originalHeight est de 65530.
  • Image 0 : Image.Width a une valeur de 32768, supérieure à originalWidth. C’est pourquoi nous déclenchons reallocarray. Cependant, comme Image.Height a la valeur 0, la taille finale du raster devient 32768*0 = 0. En raison du comportement interne de reallocarray, nous libérons le pointeur, laissons la référence orpheline et sortons de la boucle.
  • Image 1 : Image.Width a une valeur de 65535, à nouveau supérieure à originalWidth et Image.Height est à nouveau 0, ce qui entraîne le même comportement, et nous libérons à nouveau le même pointeur, déclenchant ASan.

Conclusion

Les analyseurs syntaxiques sont évidemment difficiles à mettre au point, et il est facile de commettre des erreurs ou de faire des suppositions erronées sur les données que l’analyseur va traiter. Cette vulnérabilité a été très facile à redécouvrir avec notre harnais. En fait, le tout premier plantage a été signalé quelques minutes seulement après le début de l'exécution.

Dans les cas où ces types de bibliothèques sont inclus dans des applications hautement critiques en matière de sécurité, comme les applications de messagerie, elles doivent absolument être soumises à des tests manuels et automatisés approfondis. Si les ingénieurs d’application ne valident pas le code de la bibliothèque, il est clair que les chercheurs le feront (et ils pourront ou non communiquer leurs résultats, sans jugement).Addendum

Addendum

Ce bug a été signalé et corrigé en 2019, mais par curiosité, j’ai fait quelques recherches dans l’historique des problèmes du référentiel. À ma grande surprise, j’ai trouvé un problème de 2016 clôturé pour inactivité, ce qui est presque certainement lié à cette même vulnérabilité.

capture d’écran d’un plantage GitHub renderFrame
Plantage de renderFrame sur GitHub

L’utilisateur signale un plantage de Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame, qui est la manière dont la bibliothèque utilise généralement l’appel vulnérable DDGifSlurp. Nous n’appelons pas cette fonction car :

  • Nous devrions créer un objet Bitmap Java, soit pour chaque itération, soit en réutilisant un seul objet avec quelques astuces.
  • Pour chaque itération de fuzzing, nous devrions verrouiller et déverrouiller les pixels.

Ces actions sont gourmandes en ressources informatiques si nous les exécutons des milliers de fois par seconde, et nous n’en avons pas besoin pour solliciter la fonction vulnérable.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame(JNIEnv *env, jclass __unused
handleClass, jlong gifInfo, jobject jbitmap) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info == NULL)
        return -1;

    long renderStartTime = getRealTime();
    void *pixels;
    if (lockPixels(env, jbitmap, info, &pixels) != 0) {
        return 0;
    }
    DDGifSlurp(info, true, false);
    if (info->currentIndex == 0) {
        prepareCanvas(pixels, info);
    }
    const uint_fast32_t frameDuration = getBitmap(pixels, info);
    unlockPixels(env, jbitmap);
    return calculateInvalidationDelay(info, renderStartTime, frameDuration);
}

 

Je pense que de nombreux chercheurs de la communauté de la recherche sur les vulnérabilités (VR) surveillent les problèmes ouverts et fermés de GitHub provenant de bibliothèques open source chargées par des applications sensibles. Compte tenu de la notoriété de WhatsApp en tant que cible, il est peu probable que je sois le premier à me pencher sur ce problème spécifique, et sur d’autres, dans la bibliothèque android-gif-drawable. Je ne serais pas du tout surpris si ce bug était connu avant 2019.

Références

Comment un bug de double-free dans WhatsApp se transforme en RCE - ici

  • L'article de blog original d’Awakened où il décrit la vulnérabilité et la méthode d’exploitation. Le chercheur a publié d’autres articles intéressants sur son blog, mais curieusement, aucun nouvel article n’a été publié après le billet concernant la vulnérabilité de WhatsApp. Je suis sûr que l’un des laboratoires de recherche a fait une excellente recrue pour son équipe !

2. La vulnérabilité du traitement des GIF, qui a fait l’objet d’un correctif, affecte toujours les applications mobiles – ici

  • Une très bonne analyse réalisée par Trend Micro, qui analyse également l’impact sur les autres applications Android utilisant des versions obsolètes de la bibliothèque.

3. Greybox fuzzing d’Android avec le mode Frida AFL++ - ici

  • Informations de base sur le fuzzing des fonctions JNI dans différentes configurations : native, faiblement liée et fortement liée. Écrit par Eric Le Guevel @quarkslab.

Fuzzing Redux, en tirant parti du mode Frida d’AFL++ sur les bibliothèques natives Android – ici

  • Voici un article que j’ai écrit en 2024, qui donne plus de contexte sur AFL++ Frida-Mode avec des informations de compilation et des exemples d’utilisation.

5. android-gif-drawableici

  • La dernière version de la bibliothèque vulnérable v1.2.17 ici
Mixture of Experts | 12 décembre, épisode 85

Décryptage de l’IA : Tour d’horizon hebdomadaire

Rejoignez notre panel d’ingénieurs, de chercheurs, de chefs de produits et autres spécialistes de premier plan pour connaître l’essentiel de l’actualité et des dernières tendances dans le domaine de l’IA.
Regardez tous les épisodes de Mixture of Experts
Solutions connexes
Services de gestion des menaces

Prévoyez, prévenez et répondez aux menaces modernes pour accroître la résilience de l’entreprise.

 

 Découvrir les services de gestion des menaces
Solutions de détection et de réponse aux menaces

Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.

 Découvrir les solutions de détection des menaces
Solutions de défense contre les menaces mobiles (MTD)

Protégez votre environnement mobile avec les solutions complètes de défense contre les menaces mobiles d’IBM MaaS360.

 Explorer les solutions de défense contre les menaces mobiles
Passez à l’étape suivante

Bénéficiez de solutions complètes de gestion des menaces, afin de protéger votre entreprise avec compétence contre les cyberattaques.

 Découvrir les services de gestion des menaces Demander une séance d’information sur les menaces