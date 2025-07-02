Posting ini sebagian merupakan analisis kerentanan bebas ganda (CVE-2019-11932) di perpustakaan pemrosesan gambar yang digunakan oleh WhatsApp dan sebagian referensi untuk pengembangan harness pada perangkat saat memburamkan pustaka asli di Android. Saya pertama kali mengetahui kerentanan ini dengan membaca sebuah postingan blog dari Awakened, peneliti yang mengungkapkan masalah ini. Penulis tidak menjelaskan bagaimana masalah ini ditemukan, dan saya ingin memahami betapa sulitnya menemukan kembali bug tersebut. Seperti yang akan kita lihat, kerentanan itu sendiri cukup dangkal dan mudah direproduksi dengan memburamkan perpustakaan yang rentan dengan AFL ++.
CVE ini sangat menarik karena kode pustaka yang rentan(android-gif-drawable < v1.2.18) dapat dipicu dari jarak jauh dengan mengirimkan file GIF yang rusak kepada seseorang. Metode ini belum sempurna karena tetap perlu campur tangan korban, contohnya ketika mereka membuka galeri gambar WhatsApp. Selain itu, kerentanan ini hanya akan menjadi bagian dari rantai komponen yang lebih besar yang akan mencakup kerentanan tambahan, misalnya, untuk melakukan kebocoran informasi dan untuk meningkatkan hak istimewa. Meski demikian, jenis kerentanan seperti ini tergolong langka dan mahal karena potensi nilai intelijen manusia yang dapat diberikannya. Kasus ini juga menunjukkan betapa pentingnya bagi aplikasi untuk mengaudit pustaka-pustaka yang mereka sertakan dalam basis kode mereka. Perusahaan besar mungkin harus berbuat lebih banyak untuk berkontribusi dan meningkatkan keamanan Perangkat Lunak Sumber Terbuka (OSS) yang mereka gunakan dalam produk mereka. Contoh analog yang lebih baru menghasilkan pengungkapan lima kerentanan di libxml2.
Berdasarkan tulisan kerentanan Awakened, saya memfokuskan upaya saya pada rutinitas decoding GIF. File GIF disusun sebagai header dan deskriptor layar logis diikuti oleh aliran catatan untuk setiap frame. Catatan ini terdiri dari deskriptor gambar (lebar, tinggi, posisi dan palet), blok ekstensi opsional (transparansi, penundaan, dll), dan data piksel terkompresi. Dalam decoding.c ada sebuah fungsi, DDGIFSLurp, yang memandu aliran catatan GIF dan membangun metadata per frame. Jika decode=true, fungsi ini mengekstrak piksel per frame mentah. Biasanya, frame memiliki ukuran yang sama. Ini masuk akal karena ketika Anda melihat GIF, Anda melihat serangkaian frame yang diputar dalam satu loop. Ketika frame memiliki ukuran yang sama, fungsi akan terus menggunakan kembali alokasi yang telah dibuat untuk menyimpan buffer (rasterBits). Namun, fungsi ini menangani kasus ketika frame memiliki ukuran yang berbeda dengan memanggil reallocarray untuk mengalokasikan buffer baru. Fungsi realloc adalah kombinasi dari free dan malloc .Jika tidak ada ukuran yang disediakan, fungsi itu hanya membebaskan pointer.
Commit df309bb - decoding.c di sini
Jika kita bayangkan frame pertama memiliki beberapa dimensi normal,40*10, buffer sebesar 400 byte dialokasikan. Frame kedua memiliki beberapa dimensi yang salah bentuk, 0*20. Dalam hal ini, berikut ini berlaku:
Ketika reallocarray dipanggil, ukuran alokasi dihitung sebagai 0*20=0; ini menyebabkan rasterBits menjadi free. Jika frame ketiga memiliki dimensi yang juga tidak benar, fungsi ini akan menerapkan free ke pointer yang sama lagi, sehingga menghasilkan double-free.
Simbol itu penting; simbol membantu mempermudah memahami apa yang dilakukan oleh suatu potongan kode. Jika Anda menganalisis pustaka yang diekstrak dari sebuah Android Package Kit (APK), kemungkinan besar pustaka tersebut sudah di-strip dari simbol-simbolnya. Dalam kasus khusus kami, untuk android-gif-drawable, ini bukan masalah karena kami memiliki akses ke sumbernya. Namun, jika Anda perlu merekayasa balik biner sumber tertutup, Anda setidaknya harus menerapkan jenis Java Native Interface (JNI) untuk membuat proses riset lebih mudah. Ada sebuah tulisan dari @Ch0pin yang bisa Anda baca di sini untuk memberi Anda lebih banyak latar belakang. Dalam kasus saya, saya menggunakan Binary Ninja, dan saya menemukan file header tipe kerja yang dapat diimpor di sini.
Untuk memahami cara menerapkan tipe, Anda dapat mencari APK yang didekompilasi untuk deklarasi asli. Pada tangkapan layar di bawah ini, kita dapat melihat beberapa deklarasi android-gif-drawable dari APK di JEB.
Ambil getFrameDuration sebagai contoh:
Di sini, J diterjemahkan menjadi jlong dan I diterjemahkan sebagai jint. Perhatikan bahwa fungsi ini juga memiliki tipe tampilan jint. Jika kita menggabungkan nilai-nilai ini dengan konvensi panggilan standar untuk pemanggilan JNI native, kita akan mendapatkan:
Anda dapat menerapkan beberapa otomatisasi untuk proses ini (menggunakan androguard, JEB API, dll). Dengan pemetaan tipe yang tepat, Anda dapat secara terprogram berjalan setiap kelas dan menerapkan semua jenis yang diidentifikasi ke perpustakaan yang Anda analisis.
Beberapa teknik diperlukan untuk mengurai APK, mengekstrak definisi panggilan, dan menerapkannya di decompiler pilihan Anda. Upaya ini sepadan karena dapat mengurangi jumlah tenaga kerja manual, dan dapat memberi Anda gambaran umum tentang penggunaan pustaka native dalam APK secara keseluruhan.
Hal pertama yang saya lakukan (karena perpustakaannya bersifat sumber terbuka) adalah membuat versi android-gif-drawable saya sendiri dari paket rilis v1.2.17 menggunakan Android NDK. Kemudian, saya meninjau ekspor apa yang tersedia dalam biner:
Ini adalah informasi yang berguna karena kita tahu kita dapat memanggil DDGIFSLurp secara langsung, dan kita juga dapat melihat kumpulan fungsi yang diekspor JNI. Jika kita melihat DDGifSlurp lagi, kita melihat bahwa argumen pertama adalah sebuah penunjuk ke tipe yang kompleks, GifInfo.
Lakukan df309bb - gif.h di sini
Kita dapat secara manual membuat objek GifInfo palsu; namun, objek ini cukup besar dan merupakan gabungan dari tipe kompleks lainnya (seperti GifFileType). Sebaliknya, lebih masuk akal untuk menyelidiki fungsi asli lainnya untuk melihat bagaimana objek GIFinfo biasanya dibuat. Kami dapat dengan cepat menemukan beberapa kandidat potensial.
Lakukan df309bb - gif.c di sini
Dari jumlah tersebut, varian byte tampaknya memiliki overhead paling sedikit; khususnya, OpenByteArray hanya mengharuskan kita untuk membuat objek JByteArray, yang dapat kita lakukan dengan mudah di C.
Perhatikan bahwa objek GifInfo itu sendiri dibuat oleh createGifInfo.
Commit df309bb - init.c di sini
Pada cuplikan kode di atas, Anda dapat melihat bahwa fungsi inisialisasi juga memanggil DDGifSlurp, tetapi tidak dapat memicu kode yang rentan karena decode=false. Menyetel flag ini ke false memicu kasus IsInitialPass dalam DDGIFslurp, yang hanya merekam metadata per frame tanpa mengurai frame.
Pada titik ini, kami memiliki pemahaman yang cukup baik tentang cara memanggil jalur kode yang rentan, dan kami dapat mengumpulkan serangkaian panggilan untuk mencapai fungsi yang ingin kami fuzz.
Namun, kami kehilangan dua elemen di sini. Pertama, jika kita membuat ribuan rantai panggilan ini, kita akan kehabisan memori dan merusak harness kita, jadi kita perlu memastikan untuk membebaskan sumber daya apa pun yang kita buat. Untuk mencapai ini, kita dapat menggunakan fungsi lain yang diekspor JNI.
Lakukan df309bb - dispose.c di sini
Elemen kedua yang tidak ada jauh lebih tidak jelas. Ketika DDGifSlurp menginisialisasi GIF, ia akan menelusuri daftar frame, memodifikasi objek GifInfo sambil berjalan. Sebelum kita dapat memproses GIF lagi, kita perlu mengembalikannya ke keadaan awalnya. Dengan melakukan hal tersebut, posisi kita di ByteArrayContainer akan diatur ulang ke posisi awal dan beberapa properti objek GifInfo akan diatur ulang, seperti yang terlihat di bawah ini.
Commit df309bb - controle.c di sini
Rantai panggilan terakhir kami terlihat seperti ini:
Kita dapat membuat biner uji yang akan mengambil GIF dari disk dan meneruskannya melalui rantai panggilan kami. Perhatikan bahwa kami menyertakan file header jenv (bersumber dari posting Quarkslab ini ), dan kami juga menyertakan header gif langsung dari pustaka android-gif-drawable itu sendiri.
Biasanya, untuk fuzzing, kita akan berada dalam salah satu dari tiga skenario:
Dalam kasus kami, openByteArray memiliki prototipe yang cukup mudah, jadi kami berada di kategori ini, di mana kami dapat membuat argumen fungsi dari C tanpa dependensi tambahan.
Kode di atas akan membaca gambar dari disk, menginisialisasi Java Virtual Machine (JVM), membuat JByteArray dan meneruskan gambar melalui rantai panggilan kita. Pada akhirnya, kami mencetak beberapa properti dari objek GifInfo sehingga kami bisa mendapatkan beberapa metadata dan mengonfirmasi kode berjalan hingga selesai tanpa kesalahan. Nanti, kita dapat menggunakan biner uji ini untuk men-debug setiap crash yang mungkin kita temukan.
Dengan bagian yang sulit di belakang kita, kita dapat membuat harness fuzzing dengan membungkus kode pengujian dalam beberapa boilerplate AFL ++. Pada dasarnya, kita menginisialisasi Java VM dan kemudian membuat fungsi yang mengambil array byte sebagai input. Fungsi ini, fuzz_one_input, akan melakukan semua tindakan yang diperlukan untuk melangkah melalui rantai panggilan kami sekali dengan input yang disediakan. Kami akan menggunakan Frida untuk menghubungkan fungsi ini sehingga AFL dapat meneruskan input ke sana dan mengumpulkan cakupan.
Skrip Frida kecil di bawah ini memungkinkan AFL++ meneruskan input ke harness. Skrip ini menyuntikkan C-hook kecil yang menyalin setiap kasus uji AFL langsung ke buffer input fungsi, memberi tahu AFL ++ di mana harus memulai ulang pada setiap iterasi, dan memanfaatkan instrumentasi Frida untuk mengumpulkan cakupan.
Akhirnya, kami bisa memulai fuzzing di telepon.
Saya membiarkan fuzzer berjalan selama sekitar 7 jam sebelum mengakhiri prosesnya. Kita dapat melihat dari output AFL di bawah ini, kami mengeksekusi lebih dari 200 juta kasus pengujian dan mencatat 29,1 ribu crash, di mana 42 di antaranya berhasil diselamatkan. AFL menerapkan beberapa heuristik berdasarkan jenis sinyal, alamat kesalahan, dan tepi dalam peta jangkauan untuk menentukan apakah kerusakan cukup menarik untuk disimpan. Ini tidak berarti bahwa masing-masing crash ini unik.
Jika kita ingin melakukan triase crash, kita dapat menambah pustaka rentan dengan menambahkan beberapa pernyataan cetak tambahan yang akan memberi kita lebih banyak insight tentang apa yang terjadi di dalam kondisi DDGifSlurp decode.
Untuk kenyamanan kami, kami juga dapat mengkompilasi ulang test_DDGifSlurp dengan ASan, yang akan memberi kami informasi yang lebih verbose tentang apa yang salah pada waktu proses tanpa harus segera menyelami LLBD.
Ada beberapa variasi kerentanan ini yang dapat dipicu tergantung pada ukuran dan komposisi bingkai GIF.
Dalam contoh ini, kita dapat melihat variasi yang hampir identik dengan yang dimiliki Awakened di postingan blog mereka.
Parser jelas sulit untuk melakukannya dengan benar, dan mudah untuk membuat kesalahan atau memiliki asumsi yang tidak cocok tentang data apa yang akan diproses oleh parser. Kerentanan ini sangat mudah ditemukan kembali menggunakan harness kami. Faktanya, crash pertama dilaporkan hanya beberapa menit setelah skrip dijalankan.
Dalam kasus di mana jenis pustaka ini termasuk dalam aplikasi yang sangat penting untuk keamanan, seperti aplikasi perpesanan, mereka harus menjalani pengujian manual dan otomatis yang ekstensif. Jika teknisi aplikasi tidak memvalidasi kode pustaka, jelaslah bahwa para peneliti akan melakukannya (dan mereka boleh melaporkan atau tidak melaporkan temuan mereka, tidak ada penilaian).
Bug ini dilaporkan dan diperbaiki pada tahun 2019, tetapi saya penasaran dan melakukan penyelidikan tentang riwayat masalah repositori. Yang mengejutkan saya, saya menemukan masalah dari tahun 2016 yang ditutup karena tidak aktif, yang hampir pasti berkaitan dengan kerentanan yang sama ini.
Pengguna melaporkan kerusakan dari Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame, yang merupakan cara umum pustaka menggunakan panggilan DDGifSlurp yang rentan. Dalam harness kami, kami tidak memanggil fungsi ini karena:
Tindakan ini bersifat komputasi intensif jika kita melakukannya ribuan kali per detik, dan kita tidak memerlukannya untuk menjalankan fungsi yang rentan.
Saya berharap banyak peneliti dalam komunitas riset kerentanan (VR) memantau masalah GitHub terbuka dan tertutup dari perpustakaan sumber terbuka yang dimuat oleh aplikasi sensitif. Mengingat betapa profilnya WhatsApp sebagai target, diragukan bahwa saya adalah orang pertama yang melihat masalah khusus ini, dan lainnya, di perpustakaan android-gif-drawable. Saya tidak akan terkejut sama sekali jika bug ini diketahui sebelum 2019.
1. Bagaimana bug bebas ganda di WhatsApp berubah menjadi RCE - di sini
2. Patched GIF Processing Vuln Still Affects Mobile Apps - di sini
3. Pengaburan kotak abu-abu Android dengan mode AFL++ Frida - di sini
4. Fuzzing Redux, memanfaatkan AFL++ Frida-Mode pada pustaka asli Android - di sini
5. android-gif-drawable - di sini
