Questo post è in parte un'analisi di una vulnerabilità double-free (CVE-2019-11932) in una libreria di elaborazione immagini utilizzata da WhatsApp e in parte un riferimento per lo sviluppo di harness on-device durante il fuzzing di librerie native su Android. Ho scoperto questa vulnerabilità leggendo un post sul blog di Awakened, il ricercatore che ha rivelato il problema. L'autore non ha approfondito come sia stato risolto questo problema, e volevo capire quanto sarebbe stato difficile riscoprire il bug. Come vedremo, la vulnerabilità stessa è piuttosto superficiale ed è facile da riprodurre tramite il fuzzing della libreria vulnerabile con AFL++.
Questo CVE è particolarmente interessante perché il codice della libreria vulnerabile (android-gif-drawable < v1.2.18) potrebbe essere attivato da remoto inviando a qualcuno un file GIF malformato. Questa primitiva non era perfetta, in quanto si basava sull'esecuzione di alcune azioni manuali da parte dell'obiettivo, come l'apertura della galleria di immagini di WhatsApp. Inoltre, questa vulnerabilità sarebbe solo una parte di una catena di componenti più ampia che includerebbe vulnerabilità aggiuntive, ad esempio per eseguire fughe di informazioni e aumentare i privilegi. Tuttavia, questi tipi di vulnerabilità sono rari e costosi a causa del potenziale valore di intelligence umana che forniscono. Questo caso illustra anche perché è così importante che le applicazioni effettuino controlli delle librerie che includono nel loro codice base. Le grandi imprese dovrebbero forse fare di più per contribuire e migliorare la sicurezza del Software Open-Source (OSS) che utilizzano nei loro prodotti. Un esempio più recente e analogo ha portato alla divulgazione di cinque vulnerabilità in libxml2.
Basandomi sull'articolo sulle vulnerabilità di Awakened, ho concentrato i miei sforzi sulla routine di decodifica GIF. Un file GIF è strutturato come un'intestazione e un descrittore logico dello schermo seguiti da un flusso di record per ogni frame. Questi record consistono in un descrittore immagine (larghezza, altezza, posizione e palette), blocchi di estensione opzionali (trasparenza, ritardi, ecc.) e dati di pixel compressi. In decoding.c esiste una funzione, DDGifSlurp, che percorre i flussi di record GIF e accumula metadati per fotogramma. Se decode=true, estrae i pixel non elaborati per fotogramma. Di solito i fotogrammi hanno le stesse dimensioni. Questo ha senso perché quando guardi una GIF, vedi una serie di fotogrammi che si riproducono in loop. Quando i fotogrammi hanno la stessa dimensione, la funzione continua a riutilizzare l'allocazione creata per memorizzare il buffer (rasterBits). Tuttavia, la funzione gestisce i casi in cui i fotogrammi hanno dimensioni diverse chiamando reallocarray per allocare un nuovo buffer. La funzione realloc è una combinazione di free e malloc. Se non viene specificata alcuna dimensione, il puntatore viene semplicemente liberato.
Commit df309bb - decoding.c qui
Se immaginiamo che il primo fotogramma abbia alcune dimensioni normali,40*10, viene allocato un buffer di 400 byte. Il secondo fotogramma presenta alcune dimensioni deformate, 0*20. In questo caso, vale quanto segue:
Quando viene chiamato reallocarray, la dimensione di allocazione viene calcolata come 0*20=0; questo fa sì che i rasterBit vengano liberati. Se il terzo fotogramma ha dimensioni altrettanto malformate, libera di nuovo lo stesso puntatore, ottenendo un double-free.
I simboli sono importanti; rendono più facile l'interpretazione di ciò che fa un segmento di codice. Se si analizzano le librerie estratte da un Android Package Kit (APK), molto probabilmente saranno prive di simboli. Nel nostro caso specifico, per android-gif-drawable, questo non è un problema perché abbiamo accesso alla fonte. Tuttavia, se è necessario eseguire l'ingegneria inversa di un binario closed-source, è opportuno applicare almeno i tipi Java Native Interface (JNI) per semplificare il processo di ricerca. C'è un post di @Ch0pin che puoi leggere qui per avere qualche informazione in più. Nel mio caso, sto usando Binary Ninja e ho trovato un file di intestazione funzionante che può essere importato qui.
Per capire come applicare i tipi, puoi cercare le dichiarazioni native nell'APK decompilato. Nella schermata qui sotto, possiamo vedere alcune delle dichiarazioni android-gif-drawable dell'APK in JEB.
Prendiamo getFrameDuration come esempio:
Qui, J traduce in jlong e I traduce in jint. Si noti che la funzione ha anche un tipo di ritorno jint. Se combiniamo questi valori con la convenzione standard di chiamata per l'invocazione nativa JNI, otteniamo quanto segue:
Puoi applicare un certo grado di automazione a questo processo (usando androguard, JEB API, ecc.). Con le corrette mappe di tipi puoi seguire ogni classe in modo programmatico e applicare tutti i tipi identificati alla libreria che stai analizzando.
È necessario un certo grado di ingegneria per analizzare l'APK, estrarre le definizioni delle chiamate e applicarle nel tuo decompilatore preferito. Questo sforzo vale la pena perché riduce la quantità di lavoro manuale e può fornire una panoramica di alto livello sull'uso delle librerie native nell'APK nel suo complesso.
La prima cosa che ho fatto (dato che la libreria è open-source) è stata costruire la mia versione di android-gif-drawable dal pacchetto di release v1.2.17 usando Android NDK. Poi ho esaminato quali esportazioni erano disponibili nel binario:
Questa è un'informazione utile perché sappiamo di poter chiamare direttamente DDGifSlurp e possiamo anche vedere l'insieme delle funzioni esportate da JNI. Se guardiamo di nuovo DDGifSlurp, vediamo che il primo argomento è un puntatore a un tipo complesso, GifInfo.
Commit df309bb - gif.h qui
Potremmo creare manualmente un falso oggetto GifInfo, tuttavia, l'oggetto è piuttosto grande ed è esso stesso un composito di altri tipi complessi (come GifFileType). Ha invece più senso analizzare le altre funzioni native per vedere come vengono solitamente creati gli oggetti GifInfo. Possiamo trovare rapidamente alcuni potenziali candidati.
Commit df309bb - gif.c qui
Tra queste, le varianti byte sembrano avere il minor overhead, in particolare, openByteArray richiede solo di creare un oggetto jbyteArray, cosa che possiamo fare facilmente in C.
Tieni presente che l'oggetto GifInfo stesso è creato da createGifInfo.
Commit df309bb - init.c qui
Nello snippet di codice sopra, si può vedere che la funzione di inizializzazione chiama anche DDGifSlurp, ma non è in grado di attivare il codice vulnerabile perché decode=false. L'impostazione di questo flag su false attiva il caso isInitialPass all'interno di DDGifSlurp, che registra solo i metadati per fotogramma senza analizzare i fotogrammi.
A questo punto, abbiamo una buona comprensione di come chiamare il percorso di codice vulnerabile, e possiamo mettere insieme una serie di chiamate per raggiungere la funzione che vogliamo sottoporre a fuzzy.
Tuttavia, qui mancano due elementi. Innanzitutto, se creiamo migliaia di queste catene di chiamate, esauriremo la memoria e il nostro sistema andrà in crash, quindi dobbiamo assicurarci di liberare tutte le risorse che creiamo. Per raggiungere questo obiettivo, possiamo utilizzare un'altra delle funzioni esportate da JNI.
Commit df309bb - dispose.c qui
Il secondo elemento mancante è molto meno evidente. Quando DDGifSlurp inizializza la GIF, percorre l'elenco dei fotogrammi, modificando l'oggetto GifInfo man mano che procede. Prima di poter elaborare nuovamente la GIF, dobbiamo riportarla allo stato iniziale. Così facendo, ripristina la nostra posizione nel ByteArrayContainer alla posizione iniziale e reimposta alcune proprietà dell'oggetto GifInfo, come si può vedere di seguito.
Commit df309bb - controle.c qui
La nostra catena di chiamate finale si presenta così:
Possiamo creare un binario di test che prenda una GIF dal disco e la passi attraverso la nostra catena di chiamate. Tieni presente che includiamo un file di intestazione jenv (prelevato da questo post di Quarkslab) e includiamo anche l'intestazione gif direttamente dalla libreria android-gif-drawable stessa.
In genere, per il fuzzing, ci troveremmo in uno di questi tre scenari:
Nel nostro caso, openByteArray ha un prototipo piuttosto semplice, quindi siamo in questa seconda categoria, dove possiamo creare gli argomenti delle funzioni da C senza dipendenze aggiuntive.
Il codice qui sopra leggerà un'immagine dal disco, inizializzerà la macchina virtuale (JVM), creerà un jbyteArray e passerà l'immagine attraverso la nostra catena di chiamate. Alla fine, stampiamo alcune proprietà dall'oggetto GifInfo, in modo da ottenere alcuni metadati e confermare il completamento del codice senza errori. In seguito, possiamo utilizzare questo binario di prova per eseguire il debug di eventuali crash.
Con la parte difficile alle spalle, possiamo creare un harness di fuzzing inserendo il codice di test in qualche boilerplate AFL++. In main, inizializziamo la VM Java e poi creiamo una funzione che accetta un array di byte come input. Questa funzione, fuzz_one_input, eseguirà tutte le azioni necessarie per attraversare la nostra catena di chiamate una sola volta con l'input fornito. Utilizzeremo Frida per agganciare questa funzione in modo che AFL possa passarle degli input e raccogliere la copertura.
Il piccolo script Frida qui sotto consente ad AFL++ di passare gli input all'harness. Carica un piccolo C-hook che copia ogni caso di test AFL direttamente nel buffer di input delle funzioni, indica ad AFL++ esattamente dove riavviare in ogni iterazione e utilizza la strumentazione di Frida per raccogliere copertura.
Infine, possiamo dare il via al fuzzy sul telefono.
Ho lasciato che il fuzzer funzionasse per circa 7 ore prima di terminare l'esecuzione. Come possiamo vedere dall'output AFL qui sotto, abbiamo eseguito oltre 200 milioni di casi di test e registrato circa 29.100 crash, di cui 42 sono stati salvati. AFL applica alcune euristiche basate sul tipo di segnale, sull'indirizzo e sugli edge nella mappa di copertura per determinare se un incidente è sufficientemente interessante da conservare. Ciò non significa che ognuno di questi incidenti sia unico.
Se vogliamo gestire i crash, possiamo aumentare la libreria vulnerabile aggiungendo alcune istruzioni print aggiuntive che ci daranno maggiori insight su cosa accade all'interno della condizione di decodifica DDGifSlurp.
Per nostra comodità, possiamo anche ricompilare test_DDGifSlurp con ASan, che ci fornirà informazioni più dettagliate su cosa è andato storto al momento dell'esecuzione senza dover necessariamente ricorrere subito a LLBD.
Esistono alcune varianti di questa vulnerabilità che possono essere attivate a seconda della dimensione e della composizione dei fotogrammi GIF.
In questo esempio, possiamo vedere una variazione quasi identica a quella di Awakened nel loro post sul blog.
I parser sono ovviamente difficili da gestire correttamente, ed è facile commettere errori o avere ipotesi errate su quali dati elaborerà il parser. Questa vulnerabilità è stata molto facile da riscoprire utilizzando la nostra harness. Infatti il primissimo crash è stato segnalato pochi minuti dopo l'inizio dell'esecuzione.
Nei casi in cui questi tipi di librerie siano inclusi in applicazioni altamente critiche per la sicurezza, come le app di messaggistica, dovrebbero sicuramente essere sottoposte a test manuali e automatizzati approfonditi. Se gli ingegneri di applicazione non convalidano il codice della libreria, è chiaro che i ricercatori lo faranno (che potrebbero o meno riferire i loro risultati, senza alcun giudizio).
Questo bug è stato segnalato e risolto nel 2019, ma ero curioso e ho fatto qualche ricerca sulla cronologia dei problemi del repository. Con mia sorpresa, ho trovato un problema del 2016 che era stato chiuso per inattività, che quasi certamente è correlato a questa stessa vulnerabilità.
L'utente segnala un crash da parte di Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame, che è il modo tipico in cui la libreria utilizza la chiamata vulnerabile DDGifSlurp. Nella nostra harness, non chiamiamo questa funzione perché:
Queste azioni sono intensive dal punto di vista del calcolo se le eseguiamo migliaia di volte al secondo, e non ci servono per esercitare la funzione vulnerabile.
Mi aspetto che molti ricercatori della comunità di ricerca sulle vulnerabilità stiano monitorando i problemi aperti e chiusi di GitHub provenienti da librerie open source caricate da applicazioni sensibili. Dato che WhatsApp è un obiettivo di alto profilo, probabilmente non sono il primo a occuparmi di questo problema specifico, e di altri, nella libreria android-gif-drawable. Non mi sorprenderebbe affatto se questo bug fosse noto già prima del 2019.
