この投稿は、一部がWhatsAppで使用される画像処理ライブラリーのダブルフリー脆弱性（CVE-2019-11932）の分析であり、一部がAndroidのネイティブ・ライブラリーをファジングする際のオンデバイス・ハーネス開発の参考資料です。私がこの脆弱性について初めて知ったのは、この問題を公開した研究者であるAwakened氏のブログ記事 を読んだときでした。著者は、この問題がどのようにして発見されたかについて詳しく説明していませんでした。そして私は、バグを再発見することがいかに困難であるかを理解したくなったのです。ここの後示すとおり、脆弱性自体はかなり浅いもので、脆弱なライブラリーをAFL++でファジングすると簡単に再現できます。
このCVEは特に興味深く、その理由は、脆弱なライブラリコード（android-gif-drawable < v1.2.18）が、誤ったGIFファイルを送ることでリモートでトリガーされる可能性があるからです。このプリミティブは、ターゲットがWhatsAppの画像ギャラリーを開くなど、いくつかの手動アクションを実行することに依存しているため、完璧ではありませんでした。さらに、この脆弱性は、情報漏洩や権限昇格などの追加の脆弱性を含む大規模なコンポーネント・チェーンの一部に過ぎません。それでも、この種の脆弱性は潜在的な人間の知能的価値を提供するものであり、希少かつ高価です。この事例は、アプリケーションがコード・ベースに含まれているライブラリを監査することが非常に重要である理由も示しています。大企業は、自社の製品に採用しているオープンソース・ソフトウェア（OSS）のセキュリティー向上に貢献し、そのセキュリティーを向上させるために、より多くのことを行う必要があるかもしれません。より最近の類似例では、libxml2 における5つの脆弱性が公開されました。
Awakened氏の脆弱性に関する記述に基づいて、私はGIFデコード・ルーチンに注目しました。GIFファイルは、ヘッダーと論理画面記述子の後に続く各フレームのレコードのストリームという構造になっています。これらのレコードは、画像記述子（幅、高さ、位置、パレット）、オプションの拡張ブロック（透明性、遅延など）、および圧縮ピクセルデータで構成されます。decoding.cでは、DDGifSlurpという関数がありますが、これはGIFレコードのストリームを学習し、フレームごとのメタデータを構築するものです。decode=trueの場合、フレームごとの生のピクセルが抽出されます。通常、フレームは同じサイズです。GIFを見ると、一連のフレームがループ内で再生されていることがわかるため、これが理にかなっています。フレームが同じサイズの場合、この関数はバッファー（ rasterBits）を保管するために作成した割り当てを再利用し続けます。ただし、フレームのサイズが異なる場合、この関数はreallocarrayを呼び出して、新しいバッファーを割り当てることにより処理します。realloc関数は、freeとmallocを組み合わせたものです。サイズが指定されない場合は、ポインターが解放されるだけです。
df309bb - decoding.cのコミットはこちら
最初のフレームが40*10という正常な寸法を持つとすると、400バイトのバッファが割り当てられます。このケースでは2番目のフレームは、0*20という不正な寸法を持っているので、次のようになります：
reallocarrayが呼び出されると、割り当てサイズは0*20=0;として計算され、これによりrasterBitsが解放されます。3番目のフレームも同様に不正な次元がある場合、同じポインターが再び解放され、結果としてダブルフリーになります。
シンボルは重要で。これによりコードが何をしているかを解釈することが容易になりますAndroidパッケージ キット (APK) から抽出されたライブラリを分析すると、多くの場合、それらからシンボルが除去されています。今回のandroid-gif-drawableの場合は、ソースにアクセスできるので、これは問題ではありません。ただし、クローズドソース・バイナリーをリバース・エンジニアリングする必要がある場合は、研究プロセスをより簡単にするために、少なくともJavaネイティブ・インターフェース（JNI ）型を適用する必要があります。さらに詳しい背景を読むことができる@Ch0pin氏 の投稿が、こちらにあります。私の場合、Binary Ninjaを使っているので、ここにインポートできる実用的なヘッダーファイルが見つかりました。
型の適用方法を理解するためには、デコンパイルされたAPKでネイティブ宣言を検索できます。以下のスクリーンショットでは、JEBのAPKからandroid-gif-drawableの宣言の一部を見ることができます。
getFrameDurationを例として挙げます。
ここでは、Jはjlongに変換され、Iはjintに変換されます。この関数にはjintの戻り型もあることに注意してください。これらの値をネイティブJNI呼び出しの標準呼び出し規則と組み合わせると、次のようになります。
このプロセスには、androguardや、JEB APIなどを使って自動化を適用できます。適切な型マッピングを使えば、すべてのクラスをプログラム的に参照して、識別された型を解析中のライブラリに適用できます。
APKを解析して呼び出し定義を抽出し、お好みのデコンパイラに適用するには、ある程度のエンジニアリングが必要です。この取り組みは手作業の量を減らし、APK全体でのネイティブライブラリの使用状況の概要を把握できるため、それだけの価値があります。
最初に私が（ライブラリがオープンソースなので）行ったのは、Android NDKを使ってv1.2.17リリースパッケージから自分専用のandroid-gif-drawableを作成したことです。次に、レビューを行い、バイナリで利用できるエクスポート項目を確認しました。
DDGifSlurpを直接呼び出すことができることがわかっており、JNIがエクスポートした一連の関数も確認できるため、これは役立つ情報です。DDGifSlurpをもう一度調べると、最初の引き数が複雑なタイプGifInfoへのポインターであることがわかります。
df309bb - gif.hのコミットはこちら
ただし、偽のGifInfoオブジェクトを手動で作成することもできますが、このオブジェクトは非常に大きく、それ自体は他の複雑なタイプ（GifFileTypeなど）の複合タイプです。代わりに、他のネイティブ関数を調査して、GifInfoオブジェクトが通常どのように作成されるかを確認するほうが理にかなっています。すぐに有望な候補者を見つけることができます。
df309bb - gif.cのコミットはこちら
この中で、バイト系はオーバーヘッドが最も少ないと思われます。特に、openByteArrayではjbyteArrayオブジェクトを作成するだけで済みます。これはCで簡単に実行できます。
GifInfoオブジェクト自体は、createGifInfoによって作成されることに注意してください。
df309bb - init.cのコミットはこちら
上記のコード・スニペットでは、初期化関数もDDGifSlurpも呼び出していることがわかりますが、decode=falseのため脆弱なコードをトリガーできないことがわかります。このフラグをfalseに設定すると、DDGifSlurp内でisInitialPassケースがトリガーされます。これは、フレームを解析することなく、フレームごとのメタデータのみを記録します。
この時点で脆弱なコード・パスの呼び出し方法を十分に理解しているので、ファズしたい関数に到達するための一連の呼び出しをまとめることができます。
しかし、ここには2つの要素が欠けています。まず、こうした呼び出しチェーンを何千も作成すると、メモリーが不足してハーネスがクラッシュするため、作成した参考情報を必ず解放する必要があります。これを達成するには、JNIがエクスポートした別の関数を使用できます。
df309bb - dispose.cのコミットはこちら
2番目の欠落要素は、あまり明確ではありません。DDGifSlurpは、GIFを初期化するときフレームのリストを学習し、その都度、GifInfoオブジェクトを変更します。GIFを再度処理する前には、それを最初の状態に巻き戻す必要があります。そうすることで、以下に示すように、ByteArrayContainerの位置が開始位置にリセットされ、GifInfoオブジェクトの一部のプロパティがリセットされます。
df309bb - controle.cのコミットはこちら
最終的な呼び出しチェーンは次のようになります。
ディスクからGIFを取得し、それを呼び出しチェーンに渡すテスト・バイナリーを作成できます。jenvヘッダーファイル（このQuarkslabの投稿から引用）を含んでいることに注目してください。また、android-gif-drawableライブラリ自体から直接gifヘッダーも含まれています。
通常、ファジングのために、次の3つのシナリオのいずれかを採用します。
私たちの場合、openByteArrayには非常に単純なプロトタイプがあるため、この２番目のカテゴリーでは、追加の依存関係なしでCから関数の引数を作成することができます。
上記のコードは、ディスクから画像を読み取り、Java仮想マシン（JVM）を初期化して、jbyteArrayを作成し、画像を呼び出しチェーンに渡します。最後に、GifInfoオブジェクトからいくつかのプロパティを表示し、メタデータをいくつか取得し、コードがエラーなく完了するまで実行されたことを確認できます。その後、このテスト バイナリを使用して、クラッシュが発見されたときにデバッグできます。
背後には困難な部分があるため、テスト・コードをAFL++の定型文に含めることで、ファジング・ハーネスを作成できます。main内では、Java VMを初期化し、バイト配列をインプットとして受け取る関数を作成します。この関数（fuzz_one_input）は、インプットが指定されると、呼び出しチェーンのステップに必要なすべてのアクションを1回実行します。Fridaを使用してこの関数をフックするので、AFLはインプットをこの関数に渡し、カバレッジを収集できます。
以下の小さなFridaスクリプトでは、AFL++がインプットをハーネスに渡しています。各AFLテスト・ケースを関数のインプット・バッファーに直接コピーする小さなCフックを挿入し、各反復を再起動する場所をAFL++に正確に指示し、Fridaのインストゥルメンテーションを活用してカバレッジを収集します。
そして最後に、ファジングを開始することができます。
これは、実行を終了する前に、ファジングを約7時間稼働させました。以下のAFLアウトプットからわかるように、2億回を超えるテスト・ケースを実行し、29,100件のクラッシュを記録し、そのうち42件が保存されました。AFLは、信号タイプ、障害アドレス、およびカバレッジマップ内のエッジに基づいていくつかのヒューリスティックを適用し、クラッシュが十分に興味深いかどうかを判断します。これは、これらのクラッシュがそれぞれ1つずつ異なるということを意味するものではありません。
クラッシュをトリアージしたい場合は、DDGifSlurpデコード条件内で何が起こっているかについてより多くの洞察を得るためのPrintステートメントを追加することで、脆弱なライブラリを補強できます。
利便性のために、ASanでtest_DDGifSlurpを再コンパイルすることもできます。これにより、必ずしもLLBDをすぐに使用しなくても、ランタイムに問題が発生したことに関するより詳細な情報が得られます。
この脆弱性には、GIF フレームのサイズと構成に応じて発生する可能性のあるバリエーションがいくつかあります。
この例では、Awakened氏がブログ記事に書いたものとほぼ同一のバリエーションがあることがわかります。
パーサーを正しく使用するのは明らかに骨の折れる作業で、簡単に誤りを犯したり、パーサーが処理すべきデータについて誤った仮定をたててしまいます。私たちのハーネスを使用すると、この脆弱性を非常に簡単に再発見できました。実際、最初のクラッシュは実行開始のわずか数分後に報告されています。
この種のライブラリがメッセージング・アプリなどのセキュリティクリティカルなアプリケーションに含まれている場合は、間違いなく広範な手動テストと自動テストの対象となります。アプリケーション・エンジニアがライブラリ・コードを検証しない場合、研究者がそれを検証すべきなのは明らかです（研究者が結果を報告する場合もそうでない場合もあり、判断しない場合もあります）。
このバグは2019年に報告され修正されましたが、私は興味を持ち、リポジトリの問題の履歴を少し調査しました。驚いたことに、活動停止のためにクローズされた、この脆弱性とほぼ確実に関連する2016年の問題を見つけましたた。
ユーザーは、Java_pl_droidsonroids_gif_GifInfoHandle_renderFrameからのクラッシュを報告しており、これは、ライブラリーが脆弱なDDGifSlurp呼び出しを使用する典型的な方法です。ここでは、次の理由で、この関数を呼びません。
これらのアクションは、1秒に何千回も実行すると膨大な計算になります。そして、脆弱な関数を実行するためには必要ありません。
脆弱性研究（VR）コミュニティの多くの研究者は、機密性の高いアプリケーションに読み込まれたオープンソース・ライブラリーからの、未解決および解決済みのGitHubの問題を監視していると予想されます。WhatsAppがターゲットとして非常に有名であることを考えると、android-gif-drawableライブラリーでこの特定の問題やその他の問題を最初に目にしたのは私が最初であるとは思えません。もしこのバグが2019年以前に知られていたとしても、特に驚かないでしょう。
1. WhatsAppのダブルフリーバグがRCEにどう変わるのか - こちら
2.パッチが適用されたGIF処理の脆弱性が依然モバイルアプリに影響 -こちら
3. AFL++ FridaモードによるAndroidグレーボックスのファジング -こちら
4. Androidネイティブライブラリ上のAFL++ Frida-Modeを活用したFuzzing Redux - こちら
5. android-gif-drawable - こちら
