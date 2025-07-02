Tag
Mereproduksi bug jutaan dolar: WhatsApp CVE-2019-11932 (dengan AFL & Frida)

Tampilan closeup di tangan seorang wanita memegang smartphone dan mengirim SMS di depan kemeja kuning

Penyusun

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

Pendahuluan

Posting ini sebagian merupakan analisis kerentanan bebas ganda (CVE-2019-11932) di perpustakaan pemrosesan gambar yang digunakan oleh WhatsApp dan sebagian referensi untuk pengembangan harness pada perangkat saat memburamkan pustaka asli di Android. Saya pertama kali mengetahui kerentanan ini dengan membaca sebuah postingan blog dari Awakened, peneliti yang mengungkapkan masalah ini. Penulis tidak menjelaskan bagaimana masalah ini ditemukan, dan saya ingin memahami betapa sulitnya menemukan kembali bug tersebut. Seperti yang akan kita lihat, kerentanan itu sendiri cukup dangkal dan mudah direproduksi dengan memburamkan perpustakaan yang rentan dengan AFL ++.

CVE ini sangat menarik karena kode pustaka yang rentan(android-gif-drawable < v1.2.18) dapat dipicu dari jarak jauh dengan mengirimkan file GIF yang rusak kepada seseorang. Metode ini belum sempurna karena tetap perlu campur tangan korban, contohnya ketika mereka membuka galeri gambar WhatsApp. Selain itu, kerentanan ini hanya akan menjadi bagian dari rantai komponen yang lebih besar yang akan mencakup kerentanan tambahan, misalnya, untuk melakukan kebocoran informasi dan untuk meningkatkan hak istimewa. Meski demikian, jenis kerentanan seperti ini tergolong langka dan mahal karena potensi nilai intelijen manusia yang dapat diberikannya. Kasus ini juga menunjukkan betapa pentingnya bagi aplikasi untuk mengaudit pustaka-pustaka yang mereka sertakan dalam basis kode mereka. Perusahaan besar mungkin harus berbuat lebih banyak untuk berkontribusi dan meningkatkan keamanan Perangkat Lunak Sumber Terbuka (OSS) yang mereka gunakan dalam produk mereka. Contoh analog yang lebih baru menghasilkan pengungkapan lima kerentanan di libxml2.

Analisis akar masalah (RCA) CVE-2019-11932

Berdasarkan tulisan kerentanan Awakened, saya memfokuskan upaya saya pada rutinitas decoding GIF. File GIF disusun sebagai header dan deskriptor layar logis diikuti oleh aliran catatan untuk setiap frame. Catatan ini terdiri dari deskriptor gambar (lebar, tinggi, posisi dan palet), blok ekstensi opsional (transparansi, penundaan, dll), dan data piksel terkompresi. Dalam decoding.c ada sebuah fungsi, DDGIFSLurp, yang memandu aliran catatan GIF dan membangun metadata per frame. Jika decode=true, fungsi ini mengekstrak piksel per frame mentah. Biasanya, frame memiliki ukuran yang sama. Ini masuk akal karena ketika Anda melihat GIF, Anda melihat serangkaian frame yang diputar dalam satu loop. Ketika frame memiliki ukuran yang sama, fungsi akan terus menggunakan kembali alokasi yang telah dibuat untuk menyimpan buffer (rasterBits). Namun, fungsi ini menangani kasus ketika frame memiliki ukuran yang berbeda dengan memanggil reallocarray untuk mengalokasikan buffer baru. Fungsi realloc adalah kombinasi dari free dan malloc .Jika tidak ada ukuran yang disediakan, fungsi itu hanya membebaskan pointer.

Commit df309bb - decoding.c di sini

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame) {
    GifRecordType RecordType;
    GifByteType *ExtData;
    int ExtFunction;
    GifFileType *gifFilePtr;
    gifFilePtr = info->gifFilePtr;
    uint_fast32_t lastAllocatedGCBIndex = 0;

...

if (decode) {
    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr-
->Image.Height;
    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

Jika kita bayangkan frame pertama memiliki beberapa dimensi normal,40*10, buffer sebesar 400 byte dialokasikan. Frame kedua memiliki beberapa dimensi yang salah bentuk, 0*20. Dalam hal ini, berikut ini berlaku:

  • widthOverflow salah
  • heightOverflow benar
  • newRasterSize adalah 0

Ketika reallocarray dipanggil, ukuran alokasi dihitung sebagai 0*20=0; ini menyebabkan rasterBits menjadi free. Jika frame ketiga memiliki dimensi yang juga tidak benar, fungsi ini akan menerapkan free ke pointer yang sama lagi, sehingga menghasilkan double-free.

android-gif-drawable

Simbol

Simbol itu penting; simbol membantu mempermudah memahami apa yang dilakukan oleh suatu potongan kode. Jika Anda menganalisis pustaka yang diekstrak dari sebuah Android Package Kit (APK), kemungkinan besar pustaka tersebut sudah di-strip dari simbol-simbolnya. Dalam kasus khusus kami, untuk android-gif-drawable, ini bukan masalah karena kami memiliki akses ke sumbernya. Namun, jika Anda perlu merekayasa balik biner sumber tertutup, Anda setidaknya harus menerapkan jenis Java Native Interface (JNI) untuk membuat proses riset lebih mudah. Ada sebuah tulisan dari @Ch0pin yang bisa Anda baca di sini untuk memberi Anda lebih banyak latar belakang. Dalam kasus saya, saya menggunakan Binary Ninja, dan saya menemukan file header tipe kerja yang dapat diimpor di sini.

Untuk memahami cara menerapkan tipe, Anda dapat mencari APK yang didekompilasi untuk deklarasi asli. Pada tangkapan layar di bawah ini, kita dapat melihat beberapa deklarasi android-gif-drawable dari APK di JEB.

tangkapan layar bytecode Dalvik JEB
JEB Dalvik bytecode

Ambil getFrameDuration sebagai contoh:

.method public static native getFrameDuration(J, I)I
.end method

 

Di sini, J diterjemahkan menjadi jlong dan I diterjemahkan sebagai jint. Perhatikan bahwa fungsi ini juga memiliki tipe tampilan jint. Jika kita menggabungkan nilai-nilai ini dengan konvensi panggilan standar untuk pemanggilan JNI native, kita akan mendapatkan:

jint getFrameDuration(JNIEnv* env, jclass clazz, jlong arg0, jint arg1)

 

Anda dapat menerapkan beberapa otomatisasi untuk proses ini (menggunakan androguard, JEB API, dll). Dengan pemetaan tipe yang tepat, Anda dapat secara terprogram berjalan setiap kelas dan menerapkan semua jenis yang diidentifikasi ke perpustakaan yang Anda analisis.

Mengekstrak dan menerapkan simbol JNI ke database Ninja Binary
Mengekstrak dan menerapkan simbol JNI ke database Ninja Binary

Beberapa teknik diperlukan untuk mengurai APK, mengekstrak definisi panggilan, dan menerapkannya di decompiler pilihan Anda. Upaya ini sepadan karena dapat mengurangi jumlah tenaga kerja manual, dan dapat memberi Anda gambaran umum tentang penggunaan pustaka native dalam APK secara keseluruhan.

tangkapan layar kode native Binary Ninja yang didekompilasi
Kode asli dekompilasi Binary Ninja
Fuzzing DDGifSlurp

Bagaimana kita bisa mencapai fungsi target kita?

Hal pertama yang saya lakukan (karena perpustakaannya bersifat sumber terbuka) adalah membuat versi android-gif-drawable saya sendiri dari paket rilis v1.2.17 menggunakan Android NDK. Kemudian, saya meninjau ekspor apa yang tersedia dalam biner:

➜ nm -D lib/libpl_droidsonroids_gif_fixed.so | awk '$3 ~ /^D/ || $3 ~ /^Java_pl_/'
 0000000000006214 T DDGifSlurp
 000000000000ad14 T DGifCloseFile
 000000000000ac58 T DGifExtensionToGCB
 000000000000a91c T DGifGetCodeNext
 000000000000aa68 T DGifGetExtension
 000000000000ab20 T DGifGetExtensionNext
 0000000000009cc0 T DGifGetImageDesc
 000000000000a254 T DGifGetLine
 0000000000009b98 T DGifGetRecordType
 000000000000989c T DGifGetScreenDesc
 0000000000009644 T DGifOpen
 000000000000bb90 T DetachCurrentThread
 000000000000d53c T Java_pl_droidsonroids_gif_GifInfoHandle_bindSurface
 0000000000009314 T
Java_pl_droidsonroids_gif_GifInfoHandle_createTempNativeFileDescriptor
 00000000000091ac T
Java_pl_droidsonroids_gif_GifInfoHandle_extractNativeFileDescriptor
 0000000000006d20 T Java_pl_droidsonroids_gif_GifInfoHandle_free
 000000000000c238 T Java_pl_droidsonroids_gif_GifInfoHandle_getAllocationByteCount
 000000000000bd74 T Java_pl_droidsonroids_gif_GifInfoHandle_getComment
 000000000000c578 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentFrameIndex
 000000000000c528 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentLoop
 000000000000c008 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentPosition
 000000000000bf00 T Java_pl_droidsonroids_gif_GifInfoHandle_getDuration
 000000000000caa4 T Java_pl_droidsonroids_gif_GifInfoHandle_getFrameDuration
 000000000000cbc0 T Java_pl_droidsonroids_gif_GifInfoHandle_getHeight
 000000000000be68 T Java_pl_droidsonroids_gif_GifInfoHandle_getLoopCount
 000000000000c15c T Java_pl_droidsonroids_gif_GifInfoHandle_getMetadataByteCount
 000000000000c4d4 T Java_pl_droidsonroids_gif_GifInfoHandle_getNativeErrorCode
 000000000000cc14 T Java_pl_droidsonroids_gif_GifInfoHandle_getNumberOfFrames
 000000000000c5cc T Java_pl_droidsonroids_gif_GifInfoHandle_getSavedState
 000000000000bfb4 T Java_pl_droidsonroids_gif_GifInfoHandle_getSourceLength
 000000000000cb6c T Java_pl_droidsonroids_gif_GifInfoHandle_getWidth
 000000000000cc68 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexImage2D
 000000000000cd50 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexSubImage2D
 000000000000ce38 T Java_pl_droidsonroids_gif_GifInfoHandle_initTexImageDescriptor
 000000000000bde4 T Java_pl_droidsonroids_gif_GifInfoHandle_isAnimationCompleted
 000000000000cb10 T Java_pl_droidsonroids_gif_GifInfoHandle_isOpaque
 00000000000084cc T Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
 00000000000087a4 T Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
 0000000000008278 T Java_pl_droidsonroids_gif_GifInfoHandle_openFile
 0000000000009340 T Java_pl_droidsonroids_gif_GifInfoHandle_openNativeFileDescriptor
 0000000000008ab8 T Java_pl_droidsonroids_gif_GifInfoHandle_openStream
 000000000000e354 T Java_pl_droidsonroids_gif_GifInfoHandle_postUnbindSurface
 00000000000057dc T Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame
 000000000000597c T Java_pl_droidsonroids_gif_GifInfoHandle_reset
 000000000000611c T Java_pl_droidsonroids_gif_GifInfoHandle_restoreRemainder
 000000000000c9d8 T Java_pl_droidsonroids_gif_GifInfoHandle_restoreSavedState
 000000000000603c T Java_pl_droidsonroids_gif_GifInfoHandle_saveRemainder
 0000000000005f6c T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrame
 000000000000d4d0 T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrameGL
 0000000000005ccc T Java_pl_droidsonroids_gif_GifInfoHandle_seekToTime
 000000000000beb8 T Java_pl_droidsonroids_gif_GifInfoHandle_setLoopCount
 000000000000b948 T Java_pl_droidsonroids_gif_GifInfoHandle_setOptions
 00000000000059e4 T Java_pl_droidsonroids_gif_GifInfoHandle_setSpeedFactor
 000000000000cfa0 T Java_pl_droidsonroids_gif_GifInfoHandle_startDecoderThread
 000000000000d374 T Java_pl_droidsonroids_gif_GifInfoHandle_stopDecoderThread

 

Ini adalah informasi yang berguna karena kita tahu kita dapat memanggil DDGIFSLurp secara langsung, dan kita juga dapat melihat kumpulan fungsi yang diekspor JNI. Jika kita melihat DDGifSlurp lagi, kita melihat bahwa argumen pertama adalah sebuah penunjuk ke tipe yang kompleks, GifInfo.

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame)

 

Lakukan df309bb - gif.h di sini

struct GifInfo {
    void (*destructor)(GifInfo *, JNIEnv *);
    GifFileType *gifFilePtr;
    GifWord originalWidth, originalHeight;
    uint_fast16_t sampleSize;
    long long lastFrameRemainder;
    long long nextStartTime;
    uint_fast32_t currentIndex;
    GraphicsControlBlock *controlBlock;
    argb *backupPtr;
    long long startPos;
    unsigned char *rasterBits;
    uint_fast32_t rasterSize;
    char *comment;
    uint_fast16_t loopCount;
    uint_fast16_t currentLoop;
    RewindFunc rewindFunction;
    jfloat speedFactor;
    uint32_t stride;
    jlong sourceLength;
    bool isOpaque;
    void *frameBufferDescriptor;
};

 

Kita dapat secara manual membuat objek GifInfo palsu; namun, objek ini cukup besar dan merupakan gabungan dari tipe kompleks lainnya (seperti GifFileType). Sebaliknya, lebih masuk akal untuk menyelidiki fungsi asli lainnya untuk melihat bagaimana objek GIFinfo biasanya dibuat. Kami dapat dengan cepat menemukan beberapa kandidat potensial.

Lakukan df309bb - gif.c di sini

Java_pl_droidsonroids_gif_GifInfoHandle_openFile
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
Java_pl_droidsonroids_gif_GifInfoHandle_openStream

 

Dari jumlah tersebut, varian byte tampaknya memiliki overhead paling sedikit; khususnya, OpenByteArray hanya mengharuskan kita untuk membuat objek JByteArray, yang dapat kita lakukan dengan mudah di C.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, jclass __unused
class, jbyteArray bytes) {
    if (isSourceNull(bytes, env)) {
        return NULL_GIF_INFO;
    }
    ByteArrayContainer *container = malloc(sizeof(ByteArrayContainer));
    if (container == NULL) {
        throwException(env, OUT_OF_MEMORY_ERROR, OOME_MESSAGE);
        return NULL_GIF_INFO;
    }
    container->buffer = (*env)->NewGlobalRef(env, bytes);
    if (container->buffer == NULL) {
        free(container);
        throwException(env, RUNTIME_EXCEPTION_BARE, "NewGlobalRef failed");
        return NULL_GIF_INFO;
    }
    container->length = (unsigned int) (*env)->GetArrayLength(env, container->buffer);
    container->position = 0;
    GifSourceDescriptor descriptor = {
            .rewindFunc = byteArrayRewind,
            .sourceLength = container->length
    };
    descriptor.GifFileIn = DGifOpen(container, &byteArrayRead, &descriptor.Error);
    descriptor.startPos = container->position;

    GifInfo *info = createGifInfo(&descriptor, env);

    if (info == NULL) {
        (*env)->DeleteGlobalRef(env, container->buffer);
        free(container);
    }
    return (jlong) (intptr_t) info;
}

 

Perhatikan bahwa objek GifInfo itu sendiri dibuat oleh createGifInfo.

Commit df309bb - init.c di sini

GifInfo *createGifInfo(GifSourceDescriptor *descriptor, JNIEnv *env) {
    if (descriptor->startPos < 0) {
        descriptor->Error = D_GIF_ERR_NOT_READABLE;
    }
    if (descriptor->Error != 0 || descriptor->GifFileIn == NULL) {
        bool readErrno = descriptor->rewindFunc == fileRewind && (descriptor->Error ==
D_GIF_ERR_NOT_READABLE || descriptor->Error == D_GIF_ERR_READ_FAILED);
        throwGifIOException(descriptor->Error, env, readErrno);
        DGifCloseFile(descriptor->GifFileIn);
        return NULL;
    }

    GifInfo *info = malloc(sizeof(GifInfo));

...

    DDGifSlurp(info, false, false);
    info->rasterBits = NULL;
    info->rasterSize = 0;
    info->originalHeight = info->gifFilePtr->SHeight;
    info->originalWidth = info->gifFilePtr->SWidth;

...

Pada cuplikan kode di atas, Anda dapat melihat bahwa fungsi inisialisasi juga memanggil DDGifSlurp, tetapi tidak dapat memicu kode yang rentan karena decode=false. Menyetel flag ini ke false memicu kasus IsInitialPass dalam DDGIFslurp, yang hanya merekam metadata per frame tanpa mengurai frame.

Pada titik ini, kami memiliki pemahaman yang cukup baik tentang cara memanggil jalur kode yang rentan, dan kami dapat mengumpulkan serangkaian panggilan untuk mencapai fungsi yang ingin kami fuzz.

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ DDGifSlurp

 

Namun, kami kehilangan dua elemen di sini. Pertama, jika kita membuat ribuan rantai panggilan ini, kita akan kehabisan memori dan merusak harness kita, jadi kita perlu memastikan untuk membebaskan sumber daya apa pun yang kita buat. Untuk mencapai ini, kita dapat menggunakan fungsi lain yang diekspor JNI.

Lakukan df309bb - dispose.c di sini

Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass __unused handleClass, jlong gifInfo)

 

Elemen kedua yang tidak ada jauh lebih tidak jelas. Ketika DDGifSlurp menginisialisasi GIF, ia akan menelusuri daftar frame, memodifikasi objek GifInfo sambil berjalan. Sebelum kita dapat memproses GIF lagi, kita perlu mengembalikannya ke keadaan awalnya. Dengan melakukan hal tersebut, posisi kita di ByteArrayContainer akan diatur ulang ke posisi awal dan beberapa properti objek GifInfo akan diatur ulang, seperti yang terlihat di bawah ini.

Commit df309bb - controle.c di sini

bool reset(GifInfo *info) {
    if (info->rewindFunction(info) != 0) {
        return false;
    }
    info->nextStartTime = 0;
    info->currentLoop = 0;
    info->currentIndex = 0;
    info->lastFrameRemainder = -1;
    return true;
}

__unused JNIEXPORT jboolean JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *__unused  env, jclass  __unused
class, jlong gifInfo) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info != NULL && reset(info)) {
        return JNI_TRUE;
    }
    return JNI_FALSE;
}

 

Rantai panggilan terakhir kami terlihat seperti ini:

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ Java_pl_droidsonroids_gif_GifInfoHandle_reset
     |_ DDGifSlurp
       |_ Java_pl_droidsonroids_gif_GifInfoHandle_free

Menguji asumsi kami

Kita dapat membuat biner uji yang akan mengambil GIF dari disk dan meneruskannya melalui rantai panggilan kami. Perhatikan bahwa kami menyertakan file header jenv (bersumber dari posting Quarkslab ini ), dan kami juga menyertakan header gif langsung dari pustaka android-gif-drawable itu sendiri.

Biasanya, untuk fuzzing, kita akan berada dalam salah satu dari tiga skenario:

  • Kami melakukan fuzzing pada kode pustaka asli murni; kami tidak memiliki dependensi.
  • Kita memiliki ketergantungan pada JNINativeInterface (JNIEnv), tetapi kita dapat secara manual membuat semua argumen fungsi yang kita perlukan untuk memanggil kode asli kita (misalnya, jbyteArray).
  • Kami memiliki ketergantungan pada beberapa objek Java kompleks yang tidak dapat kami buat di C. Dalam hal ini, kami harus memuat APK atau kelas Java yang dikompilasi khusus untuk membangun argumen kami.

Dalam kasus kami, openByteArray memiliki prototipe yang cukup mudah, jadi kami berada di kategori ini, di mana kami dapat membuat argumen fungsi dari C tanpa dependensi tambahan.

#include <errno.h>
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <stdbool.h>
#include <string.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

/* JNI symbols we call directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, class
clazz, jbyteArray bytes);
extern void  Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass clazz,
jlong gifInfo);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *env, class
clazz, jlong gifInfo);
extern jint JNI_OnLoad(JavaVM *vm, void *reserved);

static JavaCTX ctx;

/**
 * read_file - read an entire file into a memory buffer
 * @path: path to the input file
 * @out_len: pointer to size_t where the number of bytes read will be stored
 * Returns a pointer to the data, or NULL on error.
 * Caller is responsible for freeing the returned buffer.
 */
static uint8_t *read_file(const char *path, size_t *out_len) {
    FILE *f = fopen(path, "rb");
    if (!f) return NULL;
    fseek(f, 0, SEEK_END);
    long sz = ftell(f);
    rewind(f);
    if (sz <= 0) { fclose(f); return NULL; }
    uint8_t *buf = malloc((size_t)sz);
    if (!buf) { fclose(f); return NULL; }
    if (fread(buf, 1, (size_t)sz, f) != (size_t)sz) { free(buf); fclose(f); return
NULL; }
    fclose(f);
    *out_len = (size_t)sz;
    return buf;
}

/**
 * main - read a GIF file, run DDGifSlurp to trigger CVE-2019-11932, and print results
 * @argc: number of command-line arguments
 * @argv: argument vector, expects GIF file path as argv[1]
 * Returns exit code, 0 on success, non-zero on error
 */
int main(int argc, char *argv[]) {
    if (argc != 2) {
        fprintf(stderr, "Usage: %s <gif_path>\n", argv[0]);
        return 1;
    }
    const char *input_path = argv[1];
    /* 1. Read GIF from disk */
    size_t len = 0;
    uint8_t *data = read_file(input_path, &len);
    if (!data) {
        fprintf(stderr, "[-] Failed to read %s\n", input_path);
        return 1;
    }


    /* 2. Initialize Java VM without custom options */
    if (init_java_env(&ctx, NULL, 0) != 0) {
        fprintf(stderr, "[-] init_java_env failed\n");
        free(data);
        return 1;
    }

    /* get JNIEnv */
    JNIEnv *e = ctx.env;

    /* 3. Ensure GIF library's JNI_OnLoad runs to set up g_jvm */
    JNI_OnLoad(ctx.vm, NULL);

    /* 4. Single open-decode-free cycle */

    /* Create Java byte[] */
    jbyteArray arr = (*e)->NewByteArray(e, (jsize)len);
    if (!arr) {
        fprintf(stderr, "[-] NewByteArray failed\n");
        free(data);
        return 1;
    }
    (*e)->SetByteArrayRegion(e, arr, 0, (jsize)len, (const jbyte *)data);

    /* open */
    jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(e, NULL, arr);
    (*e)->DeleteLocalRef(e, arr);
    if ((*e)->ExceptionCheck(e) || gptr == 0) {
        fprintf(stderr, "[-] openByteArray failed\n");
        (*e)->ExceptionClear(e);
        free(data);
        return 1;
    }

    /* rewind */
    Java_pl_droidsonroids_gif_GifInfoHandle_reset(e, NULL, gptr);

    /* decode (vulnerable) */
    DDGifSlurp((GifInfo *)(intptr_t)gptr, true, false);

    /* print some info */
    GifInfo *info = (GifInfo *)(intptr_t)gptr;
    printf("[+] GifInfo at %p: %lu x %lu, %lu frames, loop %lu, error %d\n",
           (void*)info,
           (unsigned long)info->originalWidth,
           (unsigned long)info->originalHeight,
           (unsigned long)info->gifFilePtr->ImageCount,
           (unsigned long)info->loopCount,
           (int)info->gifFilePtr->Error);

    /* free */
    Java_pl_droidsonroids_gif_GifInfoHandle_free(e, NULL, gptr);
    (*e)->ExceptionClear(e);
    free(data);
    return 0;
}

Kode di atas akan membaca gambar dari disk, menginisialisasi Java Virtual Machine (JVM), membuat JByteArray dan meneruskan gambar melalui rantai panggilan kita. Pada akhirnya, kami mencetak beberapa properti dari objek GifInfo sehingga kami bisa mendapatkan beberapa metadata dan mengonfirmasi kode berjalan hingga selesai tanpa kesalahan. Nanti, kita dapat menggunakan biner uji ini untuk men-debug setiap crash yang mungkin kita temukan.

tangkapan layar eksekusi pengujian DDGifSlurp
Eksekusi pengujian DDGifSlurp

Membangun harness

Dengan bagian yang sulit di belakang kita, kita dapat membuat harness fuzzing dengan membungkus kode pengujian dalam beberapa boilerplate AFL ++. Pada dasarnya, kita menginisialisasi Java VM dan kemudian membuat fungsi yang mengambil array byte sebagai input. Fungsi ini, fuzz_one_input, akan melakukan semua tindakan yang diperlukan untuk melangkah melalui rantai panggilan kami sekali dengan input yang disediakan. Kami akan menggunakan Frida untuk menghubungkan fungsi ini sehingga AFL dapat meneruskan input ke sana dan mengumpulkan cakupan.

#include <errno.h>
#include <stdio.h>
#include <stdint.h>
#include <jni.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

#define BUFFER_SIZE 65536

/* JNI symbols we invoke directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *, class,
jbyteArray);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *, class,
jlong);
extern void Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *, jclass, jlong);
extern jint JNI_OnLoad(JavaVM *, void *);

static JavaCTX ctx;

/*
 * fuzz_one_input – entry used by Frida-AFL persistent mode.
 * Creates a GifInfo from the fuzz data, rewinds the stream, runs a full
 * decode with DDGifSlurp, then frees the structure.
 */
__attribute__((visibility("default")))
void fuzz_one_input(const uint8_t *data, size_t len) {
  JNIEnv *env = ctx.env;
  if (len < 6) return; /* need at least GIF header */

  /* Create Java byte[] */
  jbyteArray arr = (*env)->NewByteArray(env, (jsize)len);
  if (!arr) return;
  (*env)->SetByteArrayRegion(env, arr, 0, (jsize)len, (const jbyte *)data);

  /* GifInfoHandle.openByteArray */
  jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(env, NULL, arr);
  (*env)->DeleteLocalRef(env, arr);
  if ((*env)->ExceptionCheck(env) || gptr == 0) {
    (*env)->ExceptionClear(env);
    return;
  }

  /* Rewind so decode starts at offset 0 */
  Java_pl_droidsonroids_gif_GifInfoHandle_reset(env, NULL, gptr);

  /* Full decode – this is where CVE-2019-11932 triggers */
  GifInfo *info = (GifInfo *)(intptr_t)gptr;
  DDGifSlurp(info, true, false);

  /* Cleanup */
  Java_pl_droidsonroids_gif_GifInfoHandle_free(env, NULL, gptr);
  (*env)->ExceptionClear(env);
}

/**
 * main - AFL-Frida fuzzing harness entry point
 *
 * Reads up to BUFFER_SIZE bytes from stdin, initializes the Java VM,
 * invokes fuzz_one_input for persistent-mode decoding, and exits.
 *
 * Return: 0 on success (no crash or crash handled by AFL),
 *         non-zero on initialization or read error.
 */
int main(void) {
  uint8_t buffer[BUFFER_SIZE];
  ssize_t rlen = fread(buffer, 1, sizeof buffer, stdin);
  if (rlen == -1) return errno;

  /* Start JVM with default options */
  if (init_java_env(&ctx, NULL, 0) != 0) return 1;

  /* Ensure gif library initialises its global JVM pointer */
  JNI_OnLoad(ctx.vm, NULL);

  fuzz_one_input(buffer, (size_t)rlen);
  return 0;
}

 

Skrip Frida kecil di bawah ini memungkinkan AFL++ meneruskan input ke harness. Skrip ini menyuntikkan C-hook kecil yang menyalin setiap kasus uji AFL langsung ke buffer input fungsi, memberi tahu AFL ++ di mana harus memulai ulang pada setiap iterasi, dan memanfaatkan instrumentasi Frida untuk mengumpulkan cakupan.

Afl.print(`[*] Starting FRIDA config for PID: ${Process.id}`);

// Modules to be instrumented by Frida
const MODULE_WHITELIST = [
  "fuzz_DDGifSlurp",
  "libpl_droidsonroids_gif_fixed.so",
];

// Persistent hook
const hook_module = new CModule(`
  #include <string.h>
  #include <gum/gumdefs.h>

  #define BUF_LEN 65536

  void afl_persistent_hook(GumCpuContext *regs, uint8_t *input_buf,
    uint32_t input_buf_len) {

    uint32_t length = (input_buf_len > BUF_LEN) ? BUF_LEN : input_buf_len;
    memcpy((void *)regs->x[0], input_buf, length);
    regs->x[1] = length;
  }
  `,
  {
    memcpy: Module.getExportByName(null, "memcpy")
  }
);

// Persistent loop start address
const pPersistentAddr = DebugSymbol.fromName("fuzz_one_input").address;

// Exclude from instrumentation
Module.load("libandroid_runtime.so");
new ModuleMap().values().forEach(m => {
  if (!MODULE_WHITELIST.includes(m.name)) {
    Afl.print(`Exclude: ${m.base}-${m.base.add(m.size)} ${m.name}`);
    Afl.addExcludedRange(m.base, m.size);
  }
});

Afl.setEntryPoint(pPersistentAddr);
Afl.setPersistentHook(hook_module.afl_persistent_hook);
Afl.setPersistentAddress(pPersistentAddr);
Afl.setPersistentCount(3000); // Limit how many iterations before reinitializing
                              // the environment
Afl.setInMemoryFuzzing();
Afl.setInstrumentLibraries();
Afl.done();
Afl.print("[*] All done!");

Akhirnya, kami bisa memulai fuzzing di telepon.

panther: # su
panther: # cd /sys/devices/system/cpu
panther:/sys/devices/system/cpu # echo performance | tee cpu*/cpufreq/scaling_governor
performance
panther:/sys/devices/system/cpu # cd /data/local/tmp/whatsapp
panther:/data/local/tmp/whatsapp # ./afl-fuzz -O -G 4096 -i in -o out
./fuzz_DDGifSlurp

 

Saya membiarkan fuzzer berjalan selama sekitar 7 jam sebelum mengakhiri prosesnya. Kita dapat melihat dari output AFL di bawah ini, kami mengeksekusi lebih dari 200 juta kasus pengujian dan mencatat 29,1 ribu crash, di mana 42 di antaranya berhasil diselamatkan. AFL menerapkan beberapa heuristik berdasarkan jenis sinyal, alamat kesalahan, dan tepi dalam peta jangkauan untuk menentukan apakah kerusakan cukup menarik untuk disimpan. Ini tidak berarti bahwa masing-masing crash ini unik.

tangkapan layar fuzzing AFL++ pada perangkat
AFL++ fuzzing di perangkat

Triase kecelakaan

Jika kita ingin melakukan triase crash, kita dapat menambah pustaka rentan dengan menambahkan beberapa pernyataan cetak tambahan yang akan memberi kita lebih banyak insight tentang apa yang terjadi di dalam kondisi DDGifSlurp decode.

if (decode) {
    // Print raw values used in calculations
    printf("[DEBUG] Image.Width=%u, Image.Height=%u, originalWidth=%u,
originalHeight=%u, currentRasterSize=%u\n",
           (unsigned)gifFilePtr->Image.Width,
           (unsigned)gifFilePtr->Image.Height,
           (unsigned)info->originalWidth,
           (unsigned)info->originalHeight,
           (unsigned)info->rasterSize);

    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr->Image.Height;

    // Pretty-print computed overflow and new raster size
    printf("[DEBUG] widthOverflow=%d, heightOverflow=%d, newRasterSize=%u\n",
           (int)widthOverflow,
           (int)heightOverflow,
           (unsigned)newRasterSize);

    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

Untuk kenyamanan kami, kami juga dapat mengkompilasi ulang test_DDGifSlurp dengan ASan, yang akan memberi kami informasi yang lebih verbose tentang apa yang salah pada waktu proses tanpa harus segera menyelami LLBD.

➜  cmake \                                                          
    -DANDROID_PLATFORM=31 \
     -DCMAKE_TOOLCHAIN_FILE=/opt/homebrew/share/android-ndk/build/cmake/android.toolchain.cmake \
     -DANDROID_ABI=arm64-v8a \
     -DANDROID_ENABLE_ASAN=ON \
     -DCMAKE_BUILD_TYPE=Debug \
     -DCMAKE_C_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_CXX_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_SHARED_LINKER_FLAGS="-fsanitize=address" \
     -DCMAKE_EXE_LINKER_FLAGS="-fsanitize=address" \
     .
 ➜  make

 

Ada beberapa variasi kerentanan ini yang dapat dipicu tergantung pada ukuran dan komposisi bingkai GIF.

tangkapan layar dari android-gif-drawable ddGIFslurp double-free
android-gif-drawable DDGifSlurp double-free

Dalam contoh ini, kita dapat melihat variasi yang hampir identik dengan yang dimiliki Awakened di postingan blog mereka.

  • Status Awal: originalWidth memiliki nilai 16697, dan originalHeight memiliki nilai 65530.
  • Frame 0: Image.Width memiliki nilai 32768, yang lebih besar daripada originalWidth. Karena itu, kami memicu reallocarray. Namun, karena Image.Height memiliki nilai 0, rasterSize akhir menjadi 3 2768*0 = 0. Karena perilaku internal reallocarray, kami malah membebaskan pointer, meninggalkan referensi yang menggantung dan memutus.
  • Frame 1: Image.Width memiliki nilai 65535, sekali lagi lebih besar dari originalWid th dan Image.Height lagi-lagi 0, menghasilkan perilaku yang sama, dan kami membebaskan pointer yang sama lagi, memicu ASan.

Kesimpulan

Parser jelas sulit untuk melakukannya dengan benar, dan mudah untuk membuat kesalahan atau memiliki asumsi yang tidak cocok tentang data apa yang akan diproses oleh parser. Kerentanan ini sangat mudah ditemukan kembali menggunakan harness kami. Faktanya, crash pertama dilaporkan hanya beberapa menit setelah skrip dijalankan.

Dalam kasus di mana jenis pustaka ini termasuk dalam aplikasi yang sangat penting untuk keamanan, seperti aplikasi perpesanan, mereka harus menjalani pengujian manual dan otomatis yang ekstensif. Jika teknisi aplikasi tidak memvalidasi kode pustaka, jelaslah bahwa para peneliti akan melakukannya (dan mereka boleh melaporkan atau tidak melaporkan temuan mereka, tidak ada penilaian).

Tambahan

Bug ini dilaporkan dan diperbaiki pada tahun 2019, tetapi saya penasaran dan melakukan penyelidikan tentang riwayat masalah repositori. Yang mengejutkan saya, saya menemukan masalah dari tahun 2016 yang ditutup karena tidak aktif, yang hampir pasti berkaitan dengan kerentanan yang sama ini.

tangkapan layar dari crash GitHub RenderFrame
Crash renderFrame GitHub

Pengguna melaporkan kerusakan dari Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame, yang merupakan cara umum pustaka menggunakan panggilan DDGifSlurp yang rentan. Dalam harness kami, kami tidak memanggil fungsi ini karena:

  • Kami harus membuat objek Java Bitmap, baik untuk setiap iterasi atau dengan menggunakan kembali satu objek dengan beberapa trik.
  • Untuk setiap iterasi fuzz, kita perlu mengunci dan membuka piksel.

Tindakan ini bersifat komputasi intensif jika kita melakukannya ribuan kali per detik, dan kita tidak memerlukannya untuk menjalankan fungsi yang rentan.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame(JNIEnv *env, jclass __unused
handleClass, jlong gifInfo, jobject jbitmap) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info == NULL)
        return -1;

    long renderStartTime = getRealTime();
    void *pixels;
    if (lockPixels(env, jbitmap, info, &pixels) != 0) {
        return 0;
    }
    DDGifSlurp(info, true, false);
    if (info->currentIndex == 0) {
        prepareCanvas(pixels, info);
    }
    const uint_fast32_t frameDuration = getBitmap(pixels, info);
    unlockPixels(env, jbitmap);
    return calculateInvalidationDelay(info, renderStartTime, frameDuration);
}

 

Saya berharap banyak peneliti dalam komunitas riset kerentanan (VR) memantau masalah GitHub terbuka dan tertutup dari perpustakaan sumber terbuka yang dimuat oleh aplikasi sensitif. Mengingat betapa profilnya WhatsApp sebagai target, diragukan bahwa saya adalah orang pertama yang melihat masalah khusus ini, dan lainnya, di perpustakaan android-gif-drawable. Saya tidak akan terkejut sama sekali jika bug ini diketahui sebelum 2019.

Referensi

1. Bagaimana bug bebas ganda di WhatsApp berubah menjadi RCE - di sini

  • Posting blog asli oleh Awakened di mana mereka menggambarkan kerentanan dan metode untuk eksploitasi. Peneliti memiliki beberapa artikel menarik lainnya di blog mereka, tetapi anehnya, tidak ada entri baru setelah posting tentang kerentanan WhatsApp. Saya yakin salah satu laboratorium riset memperoleh tambahan yang sangat baik untuk tim mereka!

2. Patched GIF Processing Vuln Still Affects Mobile Apps - di sini

  • Perincian yang sangat bagus oleh Trend Micro, di mana mereka juga menganalisis dampak pada aplikasi Android lain yang menjalankan versi perpustakaan yang sudah ketinggalan zaman.

3. Pengaburan kotak abu-abu Android dengan mode AFL++ Frida - di sini

  • Latar belakang dasar tentang fungsi JNI yang fuzzing dalam berbagai pengaturan: asli, terkait lemah, dan terkait kuat. Ditulis oleh Eric Le Guevel @quarkslab.

4. Fuzzing Redux, memanfaatkan AFL++ Frida-Mode pada pustaka asli Android - di sini

  • Ini adalah posting yang saya tulis pada tahun 2024, yang memberikan lebih banyak latar belakang tentang AFL ++ Frida-Mode dengan informasi build dan contoh penggunaan.

5. android-gif-drawable - di sini

  • Versi pustaka rentan terbaru v1.2.17 di sini
