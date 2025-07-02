Cet article est en partie une analyse d’une vulnérabilité de type double-free (CVE-2019-11932) dans une bibliothèque de traitement d’image utilisée par WhatsApp et en partie une référence pour le développement de harnais sur appareil lors du fuzzing de bibliothèques natives sur Android. J’ai découvert cette vulnérabilité pour la première fois en lisant un article de blog d’Awakened, le chercheur qui a révélé le problème. L’auteur n’a pas expliqué comment ce problème avait été détecté, et je voulais comprendre à quel point il serait difficile de redécouvrir le bogue. Comme nous allons le voir, la vulnérabilité elle-même est assez superficielle et facile à reproduire en fuzzant la bibliothèque vulnérable avec AFL++.
Cette CVE est particulièrement intéressante car le code de la bibliothèque vulnérable (android-gif-drawable < v1.2.18) pourrait être déclenché à distance en envoyant à quelqu’un un fichier GIF malformé. Cette primitive n’était pas parfaite car elle dépendait d’une action manuelle de la cible, comme l’ouverture de la galerie d’images WhatsApp. De plus, cette vulnérabilité ne serait qu’une partie d’une chaîne plus vaste qui inclurait des vulnérabilités supplémentaires, par exemple pour provoquer des fuites d’informations et élever les privilèges. Pourtant, ces types de vulnérabilités sont rares et coûteux en raison de la valeur potentielle qu’ils apportent en termes de renseignement d’origine humaine. Ce cas illustre également pourquoi il est si important que les applications auditent les bibliothèques qu’elles incluent dans leur base de code. Les grandes entreprises devraient peut-être faire davantage pour contribuer à améliorer la sécurité des logiciels open source qu’elles utilisent dans leurs produits. Un exemple plus récent et analogue a conduit à la divulgation de cinq vulnérabilités dans libxml2.
En me basant sur l’article d’Awakenedsur la vulnérabilité, j’ai concentré mes efforts sur la routine de décodage GIF. Un fichier GIF se compose d’un en-tête et d’un descripteur d’écran logique, suivis d’un flux d’enregistrements pour chaque image. Ces enregistrements se composent d’un descripteur d’image (largeur, hauteur, position et palette), de blocs d’extension facultatifs (transparence, délais, etc.) et de données de pixels compressées. Dans decoding.c, il existe une fonction, DDGifSlurp, qui parcourt les flux d’enregistrements GIF et compile des métadonnées par image. Si decode=true, elle extrait les pixels bruts par image. Normalement, les images sont de la même taille. C’est logique, car lorsque vous regardez un GIF, vous voyez une série d’images jouées en boucle. Lorsque la taille des images est la même, la fonction continue de réutiliser l’allocation qu’elle a créée pour stocker le tampon (rasterBits). Cependant, la fonction gère les cas où les images sont d’une taille différente en appelant reallocarray pour allouer un nouveau tampon. La fonction realloc est une combinaison des fonctions free et malloc.Si aucune taille n’est fournie, elle libère simplement le pointeur.
Commit df309bb - decoding.c ici
Si l’on imagine que la première image a des dimensions normales, 40 × 10, un tampon de 400 octets est alloué. La seconde image a des dimensions incorrectes, 0 × 20. Dans ce cas, ce qui suit est vrai :
Lorsque reallocarray est appelé, la taille de l’allocation est calculée comme suit : 0*20=0 ; cela entraîne la libération de rasterBits. Si la troisième image a des dimensions malformées similaires, elle libère à nouveau le même pointeur, ce qui entraîne un double-free.
Les symboles sont importants ; ils permettent d’interpréter plus facilement le contenu d’un code. Si vous analysez des bibliothèques extraites d’un kit d’installation Android (APK), il est fort probable qu’elles soient dépourvues de symboles. Dans notre cas particulier, pour android-gif-drawable, ce n’est pas un problème, car nous avons accès à la source. Toutefois, si vous devez procéder à l’ingénierie inverse d’un binaire à code source fermé, vous devriez au moins appliquer les types de l’interface native Java (JNI) afin de rendre le processus de recherche plus simple. Il y a un article de @Ch0pin que vous pouvez lire ici pour avoir plus de contexte. Dans mon cas, j’utilise Binary Ninja, et j’ai trouvé un fichier d’en-tête de types fonctionnel qui peut être importé ici.
Pour comprendre comment appliquer les types, vous pouvez rechercher les déclarations natives dans l’APK décompilé. Dans la capture d’écran ci-dessous, nous pouvons voir certaines des déclarations android-gif-drawable de l’APK dans JEB.
Prenons getFrameDuration comme exemple :
Ici, J se traduit par jlong et I par jint. Notez que la fonction possède également un type de retour jint. Si nous combinons ces valeurs avec la convention d’appel standard pour l’invocation JNI native, nous obtenons :
Vous pouvez appliquer une automatisation à ce processus (en utilisant androguard, JEB API, etc). Avec des mappages de types appropriés, vous pouvez parcourir chaque classe de manière programmatique et appliquer tous les types identifiés à la bibliothèque que vous analysez.
Une certaine ingénierie est nécessaire pour analyser l’APK, extraire les définitions d’appel et les appliquer dans votre décompilateur préféré. Cet effort en vaut la peine, car il réduit la quantité de travail manuel et vous donne une vue d’ensemble de l’utilisation des bibliothèques natives dans l’APK.
La première chose que j’ai faite (puisque la bibliothèque est open source) a été de concevoir ma propre version d’android-gif-drawable à partir du package v1.2.17 en utilisant le NDK Android. Ensuite, j’ai examiné quelles exportations étaient disponibles en fichier binaire :
Cette information est utile car nous savons que nous pouvons appeler DDGifSlurp directement, et nous pouvons également voir l’ensemble des fonctions exportées par JNI. Si nous regardons à nouveau DDGifSlurp, nous voyons que le premier argument est un pointeur sur un type complexe, GifInfo.
Commit df309bb - gif.h ici
Nous pourrions créer manuellement un faux objet GifInfo. Cependant, l’objet est assez volumineux et est lui-même un composite d’autres types complexes (comme GifFileType). Il est plus judicieux d’étudier les autres fonctions natives pour voir comment les objets GifInfo sont généralement créés. Nous pouvons rapidement trouver des candidats potentiels.
Commit df309bb - gif.c ici
Parmi celles-ci, les variantes d’octets semblent avoir le moins de surcharge ; en particulier, openByteArray nécessite seulement de créer un objet jbyteArray, ce que nous pouvons faire facilement en C.
Notez que l’objet GifInfo lui-même est créé par createGifInfo.
Commit df309bb - init.c ici
Dans l’extrait de code ci-dessus, vous pouvez voir que la fonction d’initialisation appelle également DDGifSlurp, mais qu’elle n’est pas en mesure de déclencher le code vulnérable parce que decode=false. La définition de ce drapeau à false déclenche le cas isInitialPass dans DDGifSlurp, qui enregistre uniquement les métadonnées par image sans analyser les images.
À ce stade, nous comprenons assez bien comment appeler le chemin de code vulnérable, et nous pouvons assembler une série d’appels pour atteindre la fonction que nous voulons fuzzer.
Cependant, il nous manque deux éléments. Tout d’abord, si nous créons des milliers de ces chaînes d’appels, nous allons manquer de mémoire et faire planter notre harnais, nous devons donc nous assurer de libérer toutes les ressources que nous créons. Pour y parvenir, nous pouvons utiliser une autre des fonctions exportées par JNI.
Commit df309bb - dispose.c ici
Le deuxième élément manquant est bien moins évident. Lorsque DDGifSlurp initialise le GIF, il parcourt la liste des images, en modifiant l’objet GifInfo au fur et à mesure. Avant de pouvoir traiter à nouveau le GIF, nous devons le rembobiner à son état initial. Cela réinitialise notre position dans le ByteArrayContainer à la position de départ et réinitialise certaines propriétés de l’objet GifInfo, comme on peut le voir ci-dessous.
Commit df309bb - controle.c ici
Notre chaîne d’appel finale ressemble à ceci :
Nous pouvons créer un binaire de test qui prendra un GIF sur le disque et le fera passer par notre chaîne d’appels. Notez que nous incluons un fichier d’en-tête jenv (provenant de cet article de Quarkslab), et que nous incluons également l’en-tête gif directement depuis la bibliothèque android-gif-drawable elle-même.
En général, pour le fuzzing, nous serions dans l’un des trois scénarios suivants :
Dans notre cas, openByteArray a un prototype assez simple, donc nous sommes dans cette deuxième catégorie, où nous sommes capables de créer les arguments de fonction en C sans dépendances supplémentaires.
Le code ci-dessus lit une image à partir du disque, initialise la machine virtuelle Java (JVM), crée un jbyteArray et fait passer l’image par notre chaîne d’appel. À la fin, nous imprimons certaines propriétés de l’objet GifInfo pour obtenir des métadonnées et confirmer que le code a été exécuté jusqu’au bout sans erreur. Plus tard, nous pourrons utiliser ce binaire de test pour corriger les éventuels bugs que nous trouverons.
Une fois la partie difficile derrière nous, nous pouvons créer un harnais de fuzzing en enveloppant le code de test dans du code standard AFL++. Dans main, nous initialisons la machine virtuelle Java, puis créons une fonction qui prend un tableau d’octets en entrée. Cette fonction, fuzz_one_input, effectuera toutes les actions nécessaires pour parcourir notre chaîne d’appels une fois avec l’entrée fournie. Nous utiliserons Frida pour hooker cette fonction afin qu’AFL puisse lui transmettre des entrées et collecter la couverture.
Le petit script Frida ci-dessous permet à AFL++ de transmettre des entrées au harnais. Il injecte un petit hook C qui copie chaque cas de test AFL directement dans le tampon d’entrée de la fonction, indique à AFL++ exactement où redémarrer à chaque itération et tire parti de l’instrumentation de Frida pour collecter la couverture.
Enfin, nous pouvons lancer le fuzzing sur le téléphone.
J’ai laissé le fuzzer tourner pendant environ 7 heures avant d’arrêter l’exécution. Comme le montre la sortie AFL ci-dessous, nous avons exécuté plus de 200 millions de cas de test et enregistré 29 100 plantages, dont 42 ont été sauvegardés. AFL applique certaines heuristiques basées sur le type de signal, l’adresse de l’erreur et les arêtes de la carte de couverture pour déterminer si un plantage est suffisamment intéressant pour être conservé. Cela ne signifie pas que chacun de ces plantages est unique.
Si nous voulons trier les crashs, nous pouvons augmenter la bibliothèque vulnérable en ajoutant des instructions d’affichage supplémentaires qui nous donneront plus d’informations sur ce qui se passe à l’intérieur de la condition de decode de DDGifSlurp.
Pour plus de commodité, nous pouvons également recompiler test_DDGifSlurp avec ASan, ce qui nous donnera des informations plus détaillées sur ce qui n’a pas fonctionné à l’exécution sans avoir à plonger immédiatement dans le LLDB.
Quelques variantes de cette vulnérabilité peuvent être déclenchées en fonction de la taille et de la composition des images GIF.
Dans cet exemple, on peut voir une variation presque identique à celle d’Awakened dans son article de blog.
Les analyseurs syntaxiques sont évidemment difficiles à mettre au point, et il est facile de commettre des erreurs ou de faire des suppositions erronées sur les données que l’analyseur va traiter. Cette vulnérabilité a été très facile à redécouvrir avec notre harnais. En fait, le tout premier plantage a été signalé quelques minutes seulement après le début de l'exécution.
Dans les cas où ces types de bibliothèques sont inclus dans des applications hautement critiques en matière de sécurité, comme les applications de messagerie, elles doivent absolument être soumises à des tests manuels et automatisés approfondis. Si les ingénieurs d’application ne valident pas le code de la bibliothèque, il est clair que les chercheurs le feront (et ils pourront ou non communiquer leurs résultats, sans jugement).Addendum
Ce bug a été signalé et corrigé en 2019, mais par curiosité, j’ai fait quelques recherches dans l’historique des problèmes du référentiel. À ma grande surprise, j’ai trouvé un problème de 2016 clôturé pour inactivité, ce qui est presque certainement lié à cette même vulnérabilité.
L’utilisateur signale un plantage de Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame, qui est la manière dont la bibliothèque utilise généralement l’appel vulnérable DDGifSlurp. Nous n’appelons pas cette fonction car :
Ces actions sont gourmandes en ressources informatiques si nous les exécutons des milliers de fois par seconde, et nous n’en avons pas besoin pour solliciter la fonction vulnérable.
Je pense que de nombreux chercheurs de la communauté de la recherche sur les vulnérabilités (VR) surveillent les problèmes ouverts et fermés de GitHub provenant de bibliothèques open source chargées par des applications sensibles. Compte tenu de la notoriété de WhatsApp en tant que cible, il est peu probable que je sois le premier à me pencher sur ce problème spécifique, et sur d’autres, dans la bibliothèque android-gif-drawable. Je ne serais pas du tout surpris si ce bug était connu avant 2019.
