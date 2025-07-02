Tag
Riproduzione di un bug da un milione di dollari: WhatsApp CVE-2019-11932 (con AFL e Frida)

Primo piano sulle mani di una donna che tiene uno smartphone e manda messaggi davanti a una maglietta gialla

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

Introduzione

Questo post è in parte un'analisi di una vulnerabilità double-free (CVE-2019-11932) in una libreria di elaborazione immagini utilizzata da WhatsApp e in parte un riferimento per lo sviluppo di harness on-device durante il fuzzing di librerie native su Android. Ho scoperto questa vulnerabilità leggendo un post sul blog di Awakened, il ricercatore che ha rivelato il problema. L'autore non ha approfondito come sia stato risolto questo problema, e volevo capire quanto sarebbe stato difficile riscoprire il bug. Come vedremo, la vulnerabilità stessa è piuttosto superficiale ed è facile da riprodurre tramite il fuzzing della libreria vulnerabile con AFL++.

Questo CVE è particolarmente interessante perché il codice della libreria vulnerabile (android-gif-drawable < v1.2.18) potrebbe essere attivato da remoto inviando a qualcuno un file GIF malformato. Questa primitiva non era perfetta, in quanto si basava sull'esecuzione di alcune azioni manuali da parte dell'obiettivo, come l'apertura della galleria di immagini di WhatsApp. Inoltre, questa vulnerabilità sarebbe solo una parte di una catena di componenti più ampia che includerebbe vulnerabilità aggiuntive, ad esempio per eseguire fughe di informazioni e aumentare i privilegi. Tuttavia, questi tipi di vulnerabilità sono rari e costosi a causa del potenziale valore di intelligence umana che forniscono. Questo caso illustra anche perché è così importante che le applicazioni effettuino controlli delle librerie che includono nel loro codice base. Le grandi imprese dovrebbero forse fare di più per contribuire e migliorare la sicurezza del Software Open-Source (OSS) che utilizzano nei loro prodotti. Un esempio più recente e analogo ha portato alla divulgazione di cinque vulnerabilità in libxml2.

CVE-2019-11932 analisi della causa principale (RCA)

Basandomi sull'articolo sulle vulnerabilità di Awakened, ho concentrato i miei sforzi sulla routine di decodifica GIF. Un file GIF è strutturato come un'intestazione e un descrittore logico dello schermo seguiti da un flusso di record per ogni frame. Questi record consistono in un descrittore immagine (larghezza, altezza, posizione e palette), blocchi di estensione opzionali (trasparenza, ritardi, ecc.) e dati di pixel compressi. In decoding.c esiste una funzione, DDGifSlurp, che percorre i flussi di record GIF e accumula metadati per fotogramma. Se decode=true, estrae i pixel non elaborati per fotogramma. Di solito i fotogrammi hanno le stesse dimensioni. Questo ha senso perché quando guardi una GIF, vedi una serie di fotogrammi che si riproducono in loop. Quando i fotogrammi hanno la stessa dimensione, la funzione continua a riutilizzare l'allocazione creata per memorizzare il buffer (rasterBits). Tuttavia, la funzione gestisce i casi in cui i fotogrammi hanno dimensioni diverse chiamando reallocarray per allocare un nuovo buffer. La funzione realloc è una combinazione di free e malloc. Se non viene specificata alcuna dimensione, il puntatore viene semplicemente liberato.

Commit df309bb - decoding.c qui

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame) {
    GifRecordType RecordType;
    GifByteType *ExtData;
    int ExtFunction;
    GifFileType *gifFilePtr;
    gifFilePtr = info->gifFilePtr;
    uint_fast32_t lastAllocatedGCBIndex = 0;

...

if (decode) {
    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr-
->Image.Height;
    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

Se immaginiamo che il primo fotogramma abbia alcune dimensioni normali,40*10, viene allocato un buffer di 400 byte. Il secondo fotogramma presenta alcune dimensioni deformate, 0*20. In questo caso, vale quanto segue:

  • widthOverflow è falso
  • heightOverflow è vero
  • newRasterSize è 0

Quando viene chiamato reallocarray, la dimensione di allocazione viene calcolata come 0*20=0; questo fa sì che i rasterBit vengano liberati. Se il terzo fotogramma ha dimensioni altrettanto malformate, libera di nuovo lo stesso puntatore, ottenendo un double-free.

android-gif-drawable

Simboli

I simboli sono importanti; rendono più facile l'interpretazione di ciò che fa un segmento di codice. Se si analizzano le librerie estratte da un Android Package Kit (APK), molto probabilmente saranno prive di simboli. Nel nostro caso specifico, per android-gif-drawable, questo non è un problema perché abbiamo accesso alla fonte. Tuttavia, se è necessario eseguire l'ingegneria inversa di un binario closed-source, è opportuno applicare almeno i tipi Java Native Interface (JNI) per semplificare il processo di ricerca. C'è un post di @Ch0pin che puoi leggere qui per avere qualche informazione in più. Nel mio caso, sto usando Binary Ninja e ho trovato un file di intestazione funzionante che può essere importato qui.

Per capire come applicare i tipi, puoi cercare le dichiarazioni native nell'APK decompilato. Nella schermata qui sotto, possiamo vedere alcune delle dichiarazioni android-gif-drawable dell'APK in JEB.

schermata del bytecode di JEB Dalvik
Bytecode di JEB Dalvik

Prendiamo getFrameDuration come esempio:

.method public static native getFrameDuration(J, I)I
.end method

 

Qui, J traduce in jlong e I traduce in jint. Si noti che la funzione ha anche un tipo di ritorno jint. Se combiniamo questi valori con la convenzione standard di chiamata per l'invocazione nativa JNI, otteniamo quanto segue:

jint getFrameDuration(JNIEnv* env, jclass clazz, jlong arg0, jint arg1)

 

Puoi applicare un certo grado di automazione a questo processo (usando androguard, JEB API, ecc.). Con le corrette mappe di tipi puoi seguire ogni classe in modo programmatico e applicare tutti i tipi identificati alla libreria che stai analizzando.

Estrazione e applicazione di simboli JNI a un database Binary Ninja
Estrazione e applicazione di simboli JNI a un database Binary Ninja

È necessario un certo grado di ingegneria per analizzare l'APK, estrarre le definizioni delle chiamate e applicarle nel tuo decompilatore preferito. Questo sforzo vale la pena perché riduce la quantità di lavoro manuale e può fornire una panoramica di alto livello sull'uso delle librerie native nell'APK nel suo complesso.

schermata del codice nativo decompilato di Binary Ninja
Codice nativo decompilato da Binary Ninja
Fuzzing DDGifSlurp

Come possiamo raggiungere la nostra funzione target?

La prima cosa che ho fatto (dato che la libreria è open-source) è stata costruire la mia versione di android-gif-drawable dal pacchetto di release v1.2.17 usando Android NDK. Poi ho esaminato quali esportazioni erano disponibili nel binario:

➜ nm -D lib/libpl_droidsonroids_gif_fixed.so | awk '$3 ~ /^D/ || $3 ~ /^Java_pl_/'
 0000000000006214 T DDGifSlurp
 000000000000ad14 T DGifCloseFile
 000000000000ac58 T DGifExtensionToGCB
 000000000000a91c T DGifGetCodeNext
 000000000000aa68 T DGifGetExtension
 000000000000ab20 T DGifGetExtensionNext
 0000000000009cc0 T DGifGetImageDesc
 000000000000a254 T DGifGetLine
 0000000000009b98 T DGifGetRecordType
 000000000000989c T DGifGetScreenDesc
 0000000000009644 T DGifOpen
 000000000000bb90 T DetachCurrentThread
 000000000000d53c T Java_pl_droidsonroids_gif_GifInfoHandle_bindSurface
 0000000000009314 T
Java_pl_droidsonroids_gif_GifInfoHandle_createTempNativeFileDescriptor
 00000000000091ac T
Java_pl_droidsonroids_gif_GifInfoHandle_extractNativeFileDescriptor
 0000000000006d20 T Java_pl_droidsonroids_gif_GifInfoHandle_free
 000000000000c238 T Java_pl_droidsonroids_gif_GifInfoHandle_getAllocationByteCount
 000000000000bd74 T Java_pl_droidsonroids_gif_GifInfoHandle_getComment
 000000000000c578 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentFrameIndex
 000000000000c528 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentLoop
 000000000000c008 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentPosition
 000000000000bf00 T Java_pl_droidsonroids_gif_GifInfoHandle_getDuration
 000000000000caa4 T Java_pl_droidsonroids_gif_GifInfoHandle_getFrameDuration
 000000000000cbc0 T Java_pl_droidsonroids_gif_GifInfoHandle_getHeight
 000000000000be68 T Java_pl_droidsonroids_gif_GifInfoHandle_getLoopCount
 000000000000c15c T Java_pl_droidsonroids_gif_GifInfoHandle_getMetadataByteCount
 000000000000c4d4 T Java_pl_droidsonroids_gif_GifInfoHandle_getNativeErrorCode
 000000000000cc14 T Java_pl_droidsonroids_gif_GifInfoHandle_getNumberOfFrames
 000000000000c5cc T Java_pl_droidsonroids_gif_GifInfoHandle_getSavedState
 000000000000bfb4 T Java_pl_droidsonroids_gif_GifInfoHandle_getSourceLength
 000000000000cb6c T Java_pl_droidsonroids_gif_GifInfoHandle_getWidth
 000000000000cc68 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexImage2D
 000000000000cd50 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexSubImage2D
 000000000000ce38 T Java_pl_droidsonroids_gif_GifInfoHandle_initTexImageDescriptor
 000000000000bde4 T Java_pl_droidsonroids_gif_GifInfoHandle_isAnimationCompleted
 000000000000cb10 T Java_pl_droidsonroids_gif_GifInfoHandle_isOpaque
 00000000000084cc T Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
 00000000000087a4 T Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
 0000000000008278 T Java_pl_droidsonroids_gif_GifInfoHandle_openFile
 0000000000009340 T Java_pl_droidsonroids_gif_GifInfoHandle_openNativeFileDescriptor
 0000000000008ab8 T Java_pl_droidsonroids_gif_GifInfoHandle_openStream
 000000000000e354 T Java_pl_droidsonroids_gif_GifInfoHandle_postUnbindSurface
 00000000000057dc T Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame
 000000000000597c T Java_pl_droidsonroids_gif_GifInfoHandle_reset
 000000000000611c T Java_pl_droidsonroids_gif_GifInfoHandle_restoreRemainder
 000000000000c9d8 T Java_pl_droidsonroids_gif_GifInfoHandle_restoreSavedState
 000000000000603c T Java_pl_droidsonroids_gif_GifInfoHandle_saveRemainder
 0000000000005f6c T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrame
 000000000000d4d0 T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrameGL
 0000000000005ccc T Java_pl_droidsonroids_gif_GifInfoHandle_seekToTime
 000000000000beb8 T Java_pl_droidsonroids_gif_GifInfoHandle_setLoopCount
 000000000000b948 T Java_pl_droidsonroids_gif_GifInfoHandle_setOptions
 00000000000059e4 T Java_pl_droidsonroids_gif_GifInfoHandle_setSpeedFactor
 000000000000cfa0 T Java_pl_droidsonroids_gif_GifInfoHandle_startDecoderThread
 000000000000d374 T Java_pl_droidsonroids_gif_GifInfoHandle_stopDecoderThread

 

Questa è un'informazione utile perché sappiamo di poter chiamare direttamente DDGifSlurp e possiamo anche vedere l'insieme delle funzioni esportate da JNI. Se guardiamo di nuovo DDGifSlurp, vediamo che il primo argomento è un puntatore a un tipo complesso, GifInfo.

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame)

 

Commit df309bb - gif.h qui

struct GifInfo {
    void (*destructor)(GifInfo *, JNIEnv *);
    GifFileType *gifFilePtr;
    GifWord originalWidth, originalHeight;
    uint_fast16_t sampleSize;
    long long lastFrameRemainder;
    long long nextStartTime;
    uint_fast32_t currentIndex;
    GraphicsControlBlock *controlBlock;
    argb *backupPtr;
    long long startPos;
    unsigned char *rasterBits;
    uint_fast32_t rasterSize;
    char *comment;
    uint_fast16_t loopCount;
    uint_fast16_t currentLoop;
    RewindFunc rewindFunction;
    jfloat speedFactor;
    uint32_t stride;
    jlong sourceLength;
    bool isOpaque;
    void *frameBufferDescriptor;
};

 

Potremmo creare manualmente un falso oggetto GifInfo, tuttavia, l'oggetto è piuttosto grande ed è esso stesso un composito di altri tipi complessi (come GifFileType). Ha invece più senso analizzare le altre funzioni native per vedere come vengono solitamente creati gli oggetti GifInfo. Possiamo trovare rapidamente alcuni potenziali candidati.

Commit df309bb - gif.c qui

Java_pl_droidsonroids_gif_GifInfoHandle_openFile
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
Java_pl_droidsonroids_gif_GifInfoHandle_openStream

 

Tra queste, le varianti byte sembrano avere il minor overhead, in particolare, openByteArray richiede solo di creare un oggetto jbyteArray, cosa che possiamo fare facilmente in C.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, jclass __unused
class, jbyteArray bytes) {
    if (isSourceNull(bytes, env)) {
        return NULL_GIF_INFO;
    }
    ByteArrayContainer *container = malloc(sizeof(ByteArrayContainer));
    if (container == NULL) {
        throwException(env, OUT_OF_MEMORY_ERROR, OOME_MESSAGE);
        return NULL_GIF_INFO;
    }
    container->buffer = (*env)->NewGlobalRef(env, bytes);
    if (container->buffer == NULL) {
        free(container);
        throwException(env, RUNTIME_EXCEPTION_BARE, "NewGlobalRef failed");
        return NULL_GIF_INFO;
    }
    container->length = (unsigned int) (*env)->GetArrayLength(env, container->buffer);
    container->position = 0;
    GifSourceDescriptor descriptor = {
            .rewindFunc = byteArrayRewind,
            .sourceLength = container->length
    };
    descriptor.GifFileIn = DGifOpen(container, &byteArrayRead, &descriptor.Error);
    descriptor.startPos = container->position;

    GifInfo *info = createGifInfo(&descriptor, env);

    if (info == NULL) {
        (*env)->DeleteGlobalRef(env, container->buffer);
        free(container);
    }
    return (jlong) (intptr_t) info;
}

 

Tieni presente che l'oggetto GifInfo stesso è creato da createGifInfo.

Commit df309bb - init.c qui

GifInfo *createGifInfo(GifSourceDescriptor *descriptor, JNIEnv *env) {
    if (descriptor->startPos < 0) {
        descriptor->Error = D_GIF_ERR_NOT_READABLE;
    }
    if (descriptor->Error != 0 || descriptor->GifFileIn == NULL) {
        bool readErrno = descriptor->rewindFunc == fileRewind && (descriptor->Error ==
D_GIF_ERR_NOT_READABLE || descriptor->Error == D_GIF_ERR_READ_FAILED);
        throwGifIOException(descriptor->Error, env, readErrno);
        DGifCloseFile(descriptor->GifFileIn);
        return NULL;
    }

    GifInfo *info = malloc(sizeof(GifInfo));

...

    DDGifSlurp(info, false, false);
    info->rasterBits = NULL;
    info->rasterSize = 0;
    info->originalHeight = info->gifFilePtr->SHeight;
    info->originalWidth = info->gifFilePtr->SWidth;

...

Nello snippet di codice sopra, si può vedere che la funzione di inizializzazione chiama anche DDGifSlurp, ma non è in grado di attivare il codice vulnerabile perché decode=false. L'impostazione di questo flag su false attiva il caso isInitialPass all'interno di DDGifSlurp, che registra solo i metadati per fotogramma senza analizzare i fotogrammi.

A questo punto, abbiamo una buona comprensione di come chiamare il percorso di codice vulnerabile, e possiamo mettere insieme una serie di chiamate per raggiungere la funzione che vogliamo sottoporre a fuzzy.

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ DDGifSlurp

 

Tuttavia, qui mancano due elementi. Innanzitutto, se creiamo migliaia di queste catene di chiamate, esauriremo la memoria e il nostro sistema andrà in crash, quindi dobbiamo assicurarci di liberare tutte le risorse che creiamo. Per raggiungere questo obiettivo, possiamo utilizzare un'altra delle funzioni esportate da JNI.

Commit df309bb - dispose.c qui

Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass __unused handleClass, jlong gifInfo)

 

Il secondo elemento mancante è molto meno evidente. Quando DDGifSlurp inizializza la GIF, percorre l'elenco dei fotogrammi, modificando l'oggetto GifInfo man mano che procede. Prima di poter elaborare nuovamente la GIF, dobbiamo riportarla allo stato iniziale. Così facendo, ripristina la nostra posizione nel ByteArrayContainer alla posizione iniziale e reimposta alcune proprietà dell'oggetto GifInfo, come si può vedere di seguito.

Commit df309bb - controle.c qui

bool reset(GifInfo *info) {
    if (info->rewindFunction(info) != 0) {
        return false;
    }
    info->nextStartTime = 0;
    info->currentLoop = 0;
    info->currentIndex = 0;
    info->lastFrameRemainder = -1;
    return true;
}

__unused JNIEXPORT jboolean JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *__unused  env, jclass  __unused
class, jlong gifInfo) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info != NULL && reset(info)) {
        return JNI_TRUE;
    }
    return JNI_FALSE;
}

 

La nostra catena di chiamate finale si presenta così:

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ Java_pl_droidsonroids_gif_GifInfoHandle_reset
     |_ DDGifSlurp
       |_ Java_pl_droidsonroids_gif_GifInfoHandle_free

Testare le nostre ipotesi

Possiamo creare un binario di test che prenda una GIF dal disco e la passi attraverso la nostra catena di chiamate. Tieni presente che includiamo un file di intestazione jenv (prelevato da questo post di Quarkslab) e includiamo anche l'intestazione gif direttamente dalla libreria android-gif-drawable stessa.

In genere, per il fuzzing, ci troveremmo in uno di questi tre scenari:

  • Stiamo eseguendo il fuzzing del codice della libreria nativa pura e non abbiamo dipendenze.
  • Abbiamo una dipendenza dall'interfaccia JNINative (JNIEnv), ma possiamo creare manualmente tutti gli argomenti delle funzioni di cui abbiamo bisogno per chiamare il nostro codice nativo (ad esempio, jbyteArray).
  • Abbiamo una dipendenza da un oggetto Java complesso che non possiamo creare in C. In questo caso, dobbiamo caricare l'APK o una classe Java compilata su misura per costruire i nostri argomenti.

Nel nostro caso, openByteArray ha un prototipo piuttosto semplice, quindi siamo in questa seconda categoria, dove possiamo creare gli argomenti delle funzioni da C senza dipendenze aggiuntive.

#include <errno.h>
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <stdbool.h>
#include <string.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

/* JNI symbols we call directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, class
clazz, jbyteArray bytes);
extern void  Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass clazz,
jlong gifInfo);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *env, class
clazz, jlong gifInfo);
extern jint JNI_OnLoad(JavaVM *vm, void *reserved);

static JavaCTX ctx;

/**
 * read_file - read an entire file into a memory buffer
 * @path: path to the input file
 * @out_len: pointer to size_t where the number of bytes read will be stored
 * Returns a pointer to the data, or NULL on error.
 * Caller is responsible for freeing the returned buffer.
 */
static uint8_t *read_file(const char *path, size_t *out_len) {
    FILE *f = fopen(path, "rb");
    if (!f) return NULL;
    fseek(f, 0, SEEK_END);
    long sz = ftell(f);
    rewind(f);
    if (sz <= 0) { fclose(f); return NULL; }
    uint8_t *buf = malloc((size_t)sz);
    if (!buf) { fclose(f); return NULL; }
    if (fread(buf, 1, (size_t)sz, f) != (size_t)sz) { free(buf); fclose(f); return
NULL; }
    fclose(f);
    *out_len = (size_t)sz;
    return buf;
}

/**
 * main - read a GIF file, run DDGifSlurp to trigger CVE-2019-11932, and print results
 * @argc: number of command-line arguments
 * @argv: argument vector, expects GIF file path as argv[1]
 * Returns exit code, 0 on success, non-zero on error
 */
int main(int argc, char *argv[]) {
    if (argc != 2) {
        fprintf(stderr, "Usage: %s <gif_path>\n", argv[0]);
        return 1;
    }
    const char *input_path = argv[1];
    /* 1. Read GIF from disk */
    size_t len = 0;
    uint8_t *data = read_file(input_path, &len);
    if (!data) {
        fprintf(stderr, "[-] Failed to read %s\n", input_path);
        return 1;
    }


    /* 2. Initialize Java VM without custom options */
    if (init_java_env(&ctx, NULL, 0) != 0) {
        fprintf(stderr, "[-] init_java_env failed\n");
        free(data);
        return 1;
    }

    /* get JNIEnv */
    JNIEnv *e = ctx.env;

    /* 3. Ensure GIF library's JNI_OnLoad runs to set up g_jvm */
    JNI_OnLoad(ctx.vm, NULL);

    /* 4. Single open-decode-free cycle */

    /* Create Java byte[] */
    jbyteArray arr = (*e)->NewByteArray(e, (jsize)len);
    if (!arr) {
        fprintf(stderr, "[-] NewByteArray failed\n");
        free(data);
        return 1;
    }
    (*e)->SetByteArrayRegion(e, arr, 0, (jsize)len, (const jbyte *)data);

    /* open */
    jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(e, NULL, arr);
    (*e)->DeleteLocalRef(e, arr);
    if ((*e)->ExceptionCheck(e) || gptr == 0) {
        fprintf(stderr, "[-] openByteArray failed\n");
        (*e)->ExceptionClear(e);
        free(data);
        return 1;
    }

    /* rewind */
    Java_pl_droidsonroids_gif_GifInfoHandle_reset(e, NULL, gptr);

    /* decode (vulnerable) */
    DDGifSlurp((GifInfo *)(intptr_t)gptr, true, false);

    /* print some info */
    GifInfo *info = (GifInfo *)(intptr_t)gptr;
    printf("[+] GifInfo at %p: %lu x %lu, %lu frames, loop %lu, error %d\n",
           (void*)info,
           (unsigned long)info->originalWidth,
           (unsigned long)info->originalHeight,
           (unsigned long)info->gifFilePtr->ImageCount,
           (unsigned long)info->loopCount,
           (int)info->gifFilePtr->Error);

    /* free */
    Java_pl_droidsonroids_gif_GifInfoHandle_free(e, NULL, gptr);
    (*e)->ExceptionClear(e);
    free(data);
    return 0;
}

Il codice qui sopra leggerà un'immagine dal disco, inizializzerà la macchina virtuale (JVM), creerà un jbyteArray e passerà l'immagine attraverso la nostra catena di chiamate. Alla fine, stampiamo alcune proprietà dall'oggetto GifInfo, in modo da ottenere alcuni metadati e confermare il completamento del codice senza errori. In seguito, possiamo utilizzare questo binario di prova per eseguire il debug di eventuali crash.

schermata dell'esecuzione del test DDGifSlurp
Esecuzione del test DDGifSlurp

Creare un harness

Con la parte difficile alle spalle, possiamo creare un harness di fuzzing inserendo il codice di test in qualche boilerplate AFL++. In main, inizializziamo la VM Java e poi creiamo una funzione che accetta un array di byte come input. Questa funzione, fuzz_one_input, eseguirà tutte le azioni necessarie per attraversare la nostra catena di chiamate una sola volta con l'input fornito. Utilizzeremo Frida per agganciare questa funzione in modo che AFL possa passarle degli input e raccogliere la copertura.

#include <errno.h>
#include <stdio.h>
#include <stdint.h>
#include <jni.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

#define BUFFER_SIZE 65536

/* JNI symbols we invoke directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *, class,
jbyteArray);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *, class,
jlong);
extern void Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *, jclass, jlong);
extern jint JNI_OnLoad(JavaVM *, void *);

static JavaCTX ctx;

/*
 * fuzz_one_input – entry used by Frida-AFL persistent mode.
 * Creates a GifInfo from the fuzz data, rewinds the stream, runs a full
 * decode with DDGifSlurp, then frees the structure.
 */
__attribute__((visibility("default")))
void fuzz_one_input(const uint8_t *data, size_t len) {
  JNIEnv *env = ctx.env;
  if (len < 6) return; /* need at least GIF header */

  /* Create Java byte[] */
  jbyteArray arr = (*env)->NewByteArray(env, (jsize)len);
  if (!arr) return;
  (*env)->SetByteArrayRegion(env, arr, 0, (jsize)len, (const jbyte *)data);

  /* GifInfoHandle.openByteArray */
  jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(env, NULL, arr);
  (*env)->DeleteLocalRef(env, arr);
  if ((*env)->ExceptionCheck(env) || gptr == 0) {
    (*env)->ExceptionClear(env);
    return;
  }

  /* Rewind so decode starts at offset 0 */
  Java_pl_droidsonroids_gif_GifInfoHandle_reset(env, NULL, gptr);

  /* Full decode – this is where CVE-2019-11932 triggers */
  GifInfo *info = (GifInfo *)(intptr_t)gptr;
  DDGifSlurp(info, true, false);

  /* Cleanup */
  Java_pl_droidsonroids_gif_GifInfoHandle_free(env, NULL, gptr);
  (*env)->ExceptionClear(env);
}

/**
 * main - AFL-Frida fuzzing harness entry point
 *
 * Reads up to BUFFER_SIZE bytes from stdin, initializes the Java VM,
 * invokes fuzz_one_input for persistent-mode decoding, and exits.
 *
 * Return: 0 on success (no crash or crash handled by AFL),
 *         non-zero on initialization or read error.
 */
int main(void) {
  uint8_t buffer[BUFFER_SIZE];
  ssize_t rlen = fread(buffer, 1, sizeof buffer, stdin);
  if (rlen == -1) return errno;

  /* Start JVM with default options */
  if (init_java_env(&ctx, NULL, 0) != 0) return 1;

  /* Ensure gif library initialises its global JVM pointer */
  JNI_OnLoad(ctx.vm, NULL);

  fuzz_one_input(buffer, (size_t)rlen);
  return 0;
}

 

Il piccolo script Frida qui sotto consente ad AFL++ di passare gli input all'harness. Carica un piccolo C-hook che copia ogni caso di test AFL direttamente nel buffer di input delle funzioni, indica ad AFL++ esattamente dove riavviare in ogni iterazione e utilizza la strumentazione di Frida per raccogliere copertura.

Afl.print(`[*] Starting FRIDA config for PID: ${Process.id}`);

// Modules to be instrumented by Frida
const MODULE_WHITELIST = [
  "fuzz_DDGifSlurp",
  "libpl_droidsonroids_gif_fixed.so",
];

// Persistent hook
const hook_module = new CModule(`
  #include <string.h>
  #include <gum/gumdefs.h>

  #define BUF_LEN 65536

  void afl_persistent_hook(GumCpuContext *regs, uint8_t *input_buf,
    uint32_t input_buf_len) {

    uint32_t length = (input_buf_len > BUF_LEN) ? BUF_LEN : input_buf_len;
    memcpy((void *)regs->x[0], input_buf, length);
    regs->x[1] = length;
  }
  `,
  {
    memcpy: Module.getExportByName(null, "memcpy")
  }
);

// Persistent loop start address
const pPersistentAddr = DebugSymbol.fromName("fuzz_one_input").address;

// Exclude from instrumentation
Module.load("libandroid_runtime.so");
new ModuleMap().values().forEach(m => {
  if (!MODULE_WHITELIST.includes(m.name)) {
    Afl.print(`Exclude: ${m.base}-${m.base.add(m.size)} ${m.name}`);
    Afl.addExcludedRange(m.base, m.size);
  }
});

Afl.setEntryPoint(pPersistentAddr);
Afl.setPersistentHook(hook_module.afl_persistent_hook);
Afl.setPersistentAddress(pPersistentAddr);
Afl.setPersistentCount(3000); // Limit how many iterations before reinitializing
                              // the environment
Afl.setInMemoryFuzzing();
Afl.setInstrumentLibraries();
Afl.done();
Afl.print("[*] All done!");

Infine, possiamo dare il via al fuzzy sul telefono.

panther: # su
panther: # cd /sys/devices/system/cpu
panther:/sys/devices/system/cpu # echo performance | tee cpu*/cpufreq/scaling_governor
performance
panther:/sys/devices/system/cpu # cd /data/local/tmp/whatsapp
panther:/data/local/tmp/whatsapp # ./afl-fuzz -O -G 4096 -i in -o out
./fuzz_DDGifSlurp

 

Ho lasciato che il fuzzer funzionasse per circa 7 ore prima di terminare l'esecuzione. Come possiamo vedere dall'output AFL qui sotto, abbiamo eseguito oltre 200 milioni di casi di test e registrato circa 29.100 crash, di cui 42 sono stati salvati. AFL applica alcune euristiche basate sul tipo di segnale, sull'indirizzo e sugli edge nella mappa di copertura per determinare se un incidente è sufficientemente interessante da conservare. Ciò non significa che ognuno di questi incidenti sia unico.

schermata del fuzzing sul dispositivo AFL++
Fuzzing AFL++ sul dispositivo

Triage dei crash

Se vogliamo gestire i crash, possiamo aumentare la libreria vulnerabile aggiungendo alcune istruzioni print aggiuntive che ci daranno maggiori insight su cosa accade all'interno della condizione di decodifica DDGifSlurp.

if (decode) {
    // Print raw values used in calculations
    printf("[DEBUG] Image.Width=%u, Image.Height=%u, originalWidth=%u,
originalHeight=%u, currentRasterSize=%u\n",
           (unsigned)gifFilePtr->Image.Width,
           (unsigned)gifFilePtr->Image.Height,
           (unsigned)info->originalWidth,
           (unsigned)info->originalHeight,
           (unsigned)info->rasterSize);

    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr->Image.Height;

    // Pretty-print computed overflow and new raster size
    printf("[DEBUG] widthOverflow=%d, heightOverflow=%d, newRasterSize=%u\n",
           (int)widthOverflow,
           (int)heightOverflow,
           (unsigned)newRasterSize);

    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

Per nostra comodità, possiamo anche ricompilare test_DDGifSlurp con ASan, che ci fornirà informazioni più dettagliate su cosa è andato storto al momento dell'esecuzione senza dover necessariamente ricorrere subito a LLBD.

➜  cmake \                                                          
    -DANDROID_PLATFORM=31 \
     -DCMAKE_TOOLCHAIN_FILE=/opt/homebrew/share/android-ndk/build/cmake/android.toolchain.cmake \
     -DANDROID_ABI=arm64-v8a \
     -DANDROID_ENABLE_ASAN=ON \
     -DCMAKE_BUILD_TYPE=Debug \
     -DCMAKE_C_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_CXX_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_SHARED_LINKER_FLAGS="-fsanitize=address" \
     -DCMAKE_EXE_LINKER_FLAGS="-fsanitize=address" \
     .
 ➜  make

 

Esistono alcune varianti di questa vulnerabilità che possono essere attivate a seconda della dimensione e della composizione dei fotogrammi GIF.

schermata di android-gif-drawable DDGifSlurp double-free
android-gif-drawable DDGifSlurp double-free

In questo esempio, possiamo vedere una variazione quasi identica a quella di Awakened nel loro post sul blog.

  • Stato iniziale: originalWidth ha un valore di 16697 e originalHeight ha un valore di 65530.
  • Frame 0: Image.Width ha un valore di 32768, che è più grande di originalWidth. Per questo motivo, attiviamo reallocarray. Tuttavia, poiché Image.Height ha un valore di 0, la rasterSize finale diventa 32768*0 = 0. A causa del comportamento interno del reallocarray, invece eseguiamo free per il puntatore, lasciamo il riferimento sospeso ed eseguiamo break.
  • Frame 1: Image.Width ha un valore di 65535, ancora una volta maggiore di originalWidth e Image.Height è di nuovo 0, con conseguente stesso comportamento, e liberiamo di nuovo lo stesso puntatore, attivando ASan.

Conclusione

I parser sono ovviamente difficili da gestire correttamente, ed è facile commettere errori o avere ipotesi errate su quali dati elaborerà il parser. Questa vulnerabilità è stata molto facile da riscoprire utilizzando la nostra harness. Infatti il primissimo crash è stato segnalato pochi minuti dopo l'inizio dell'esecuzione.

Nei casi in cui questi tipi di librerie siano inclusi in applicazioni altamente critiche per la sicurezza, come le app di messaggistica, dovrebbero sicuramente essere sottoposte a test manuali e automatizzati approfonditi. Se gli ingegneri di applicazione non convalidano il codice della libreria, è chiaro che i ricercatori lo faranno (che potrebbero o meno riferire i loro risultati, senza alcun giudizio).

Appendice

Questo bug è stato segnalato e risolto nel 2019, ma ero curioso e ho fatto qualche ricerca sulla cronologia dei problemi del repository. Con mia sorpresa, ho trovato un problema del 2016 che era stato chiuso per inattività, che quasi certamente è correlato a questa stessa vulnerabilità.

schermata di un crash di GitHub renderFrame
Arresto anomalo di GitHub renderFrame

L'utente segnala un crash da parte di Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame, che è il modo tipico in cui la libreria utilizza la chiamata vulnerabile DDGifSlurp. Nella nostra harness, non chiamiamo questa funzione perché:

  • Dovremmo creare un oggetto Java Bitmap, per ogni iterazione oppure riutilizzandone uno singolo con qualche trucco.
  • Per ogni iterazione di fuzz, dovremmo bloccare e sbloccare i pixel.

Queste azioni sono intensive dal punto di vista del calcolo se le eseguiamo migliaia di volte al secondo, e non ci servono per esercitare la funzione vulnerabile.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame(JNIEnv *env, jclass __unused
handleClass, jlong gifInfo, jobject jbitmap) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info == NULL)
        return -1;

    long renderStartTime = getRealTime();
    void *pixels;
    if (lockPixels(env, jbitmap, info, &pixels) != 0) {
        return 0;
    }
    DDGifSlurp(info, true, false);
    if (info->currentIndex == 0) {
        prepareCanvas(pixels, info);
    }
    const uint_fast32_t frameDuration = getBitmap(pixels, info);
    unlockPixels(env, jbitmap);
    return calculateInvalidationDelay(info, renderStartTime, frameDuration);
}

 

Mi aspetto che molti ricercatori della comunità di ricerca sulle vulnerabilità stiano monitorando i problemi aperti e chiusi di GitHub provenienti da librerie open source caricate da applicazioni sensibili. Dato che WhatsApp è un obiettivo di alto profilo, probabilmente non sono il primo a occuparmi di questo problema specifico, e di altri, nella libreria android-gif-drawable. Non mi sorprenderebbe affatto se questo bug fosse noto già prima del 2019.

Riferimenti

1. How a double-free bug in WhatsApp turns to RCE - qui

  • Il post sul blog di Awakened in cui descrivono la vulnerabilità e il metodo di sfruttamento. Il ricercatore ha pubblicato altri articoli interessanti sul suo blog, ma stranamente non ci sono nuove voci dopo il post sulla vulnerabilità di WhatsApp. Sono sicura che uno dei laboratori di ricerca abbia acquisito un'ottima aggiunta al proprio team!

2. Patched GIF Processing Vuln Still Affects Mobile Apps - qui

  • Una panoramica davvero interessante di Trend Micro, che analizza anche l'impatto su altre applicazioni Android che eseguono versioni obsolete della libreria.

3. Android greybox fuzzing with AFL++ Frida mode - qui

  • Nozioni fondamentali sul fuzzing delle funzioni JNI in varie configurazioni: native, debolmente collegate e fortemente collegate. Scritto da Eric Le Guevel @quarkslab.

4. Fuzzing Redux, leveraging AFL++ Frida-Mode on Android native libraries - qui

  • Questo è un post che ho scritto nel 2024, che fornisce maggiori informazioni su AFL++ Frida-Mode con informazioni sulla build ed esempi di utilizzo.

5. android-gif-drawable - qui

  • L'ultima versione della libreria vulnerabile v1.2.17 qui
