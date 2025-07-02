タグ
100万ドル規模のバグの再現：WhatsApp CVE-2019-11932（AFLとFrida）

黄色いシャツの前でスマートフォンを持ちテキストメッセージを送信する女性の手の接写

共同執筆者

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

はじめに

この投稿は、一部がWhatsAppで使用される画像処理ライブラリーのダブルフリー脆弱性（CVE-2019-11932）の分析であり、一部がAndroidのネイティブ・ライブラリーをファジングする際のオンデバイス・ハーネス開発の参考資料です。私がこの脆弱性について初めて知ったのは、この問題を公開した研究者であるAwakened氏ブログ記事 を読んだときでした。著者は、この問題がどのようにして発見されたかについて詳しく説明していませんでした。そして私は、バグを再発見することがいかに困難であるかを理解したくなったのです。ここの後示すとおり、脆弱性自体はかなり浅いもので、脆弱なライブラリーをAFL++でファジングすると簡単に再現できます。

このCVEは特に興味深く、その理由は、脆弱なライブラリコード（android-gif-drawable < v1.2.18）が、誤ったGIFファイルを送ることでリモートでトリガーされる可能性があるからです。このプリミティブは、ターゲットがWhatsAppの画像ギャラリーを開くなど、いくつかの手動アクションを実行することに依存しているため、完璧ではありませんでした。さらに、この脆弱性は、情報漏洩や権限昇格などの追加の脆弱性を含む大規模なコンポーネント・チェーンの一部に過ぎません。それでも、この種の脆弱性は潜在的な人間の知能的価値を提供するものであり、希少かつ高価です。この事例は、アプリケーションがコード・ベースに含まれているライブラリを監査することが非常に重要である理由も示しています。大企業は、自社の製品に採用しているオープンソース・ソフトウェア（OSS）のセキュリティー向上に貢献し、そのセキュリティーを向上させるために、より多くのことを行う必要があるかもしれません。より最近の類似例では、libxml2 における5つの脆弱性が公開されました。

CVE-2019-11932 根本原因分析 (RCA)

Awakened氏の脆弱性に関する記述に基づいて、私はGIFデコード・ルーチンに注目しました。GIFファイルは、ヘッダーと論理画面記述子の後に続く各フレームのレコードのストリームという構造になっています。これらのレコードは、画像記述子（幅、高さ、位置、パレット）、オプションの拡張ブロック（透明性、遅延など）、および圧縮ピクセルデータで構成されます。decoding.cでは、DDGifSlurpという関数がありますが、これはGIFレコードのストリームを学習し、フレームごとのメタデータを構築するものです。decode=trueの場合、フレームごとの生のピクセルが抽出されます。通常、フレームは同じサイズです。GIFを見ると、一連のフレームがループ内で再生されていることがわかるため、これが理にかなっています。フレームが同じサイズの場合、この関数はバッファー（ rasterBits）を保管するために作成した割り当てを再利用し続けます。ただし、フレームのサイズが異なる場合、この関数はreallocarrayを呼び出して、新しいバッファーを割り当てることにより処理します。realloc関数は、freemallocを組み合わせたものです。サイズが指定されない場合は、ポインターが解放されるだけです。

df309bb - decoding.cのコミットはこちら

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame) {
    GifRecordType RecordType;
    GifByteType *ExtData;
    int ExtFunction;
    GifFileType *gifFilePtr;
    gifFilePtr = info->gifFilePtr;
    uint_fast32_t lastAllocatedGCBIndex = 0;

...

if (decode) {
    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr-
->Image.Height;
    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

最初のフレームが40*10という正常な寸法を持つとすると、400バイトのバッファが割り当てられます。このケースでは2番目のフレームは、0*20という不正な寸法を持っているので、次のようになります：

  • widthOverflowfalse
  • heightOverflowtrue
  • newRasterSize0

reallocarrayが呼び出されると、割り当てサイズは0*20=0;として計算され、これによりrasterBits解放されます。3番目のフレームも同様に不正な次元がある場合、同じポインターが再び解放され、結果としてダブルフリーになります。

android-gif-drawable

シンボル

シンボルは重要で。これによりコードが何をしているかを解釈することが容易になりますAndroidパッケージ キット (APK) から抽出されたライブラリを分析すると、多くの場合、それらからシンボルが除去されています。今回のandroid-gif-drawableの場合は、ソースにアクセスできるので、これは問題ではありません。ただし、クローズドソース・バイナリーをリバース・エンジニアリングする必要がある場合は、研究プロセスをより簡単にするために、少なくともJavaネイティブ・インターフェース（JNI ）型を適用する必要があります。さらに詳しい背景を読むことができる@Ch0pin氏 の投稿が、こちらにあります。私の場合、Binary Ninjaを使っているので、ここにインポートできる実用的なヘッダーファイルが見つかりました。

型の適用方法を理解するためには、デコンパイルされたAPKでネイティブ宣言を検索できます。以下のスクリーンショットでは、JEBのAPKからandroid-gif-drawableの宣言の一部を見ることができます。

JEB Davikバイトコードのスクリーンショット
JEB Dalvikバイトコード

getFrameDurationを例として挙げます。

.method public static native getFrameDuration(J, I)I
.end method

 

ここでは、Jjlongに変換され、Ijintに変換されます。この関数にはjintの戻り型もあることに注意してください。これらの値をネイティブJNI呼び出しの標準呼び出し規則と組み合わせると、次のようになります。

jint getFrameDuration(JNIEnv* env, jclass clazz, jlong arg0, jint arg1)

 

このプロセスには、androguardや、JEB APIなどを使って自動化を適用できます。適切な型マッピングを使えば、すべてのクラスをプログラム的に参照して、識別された型を解析中のライブラリに適用できます。

JNIシンボルの抽出とBinary Ninjaデータベースへの適用
JNIシンボルの抽出とBinary Ninjaデータベースへの適用

APKを解析して呼び出し定義を抽出し、お好みのデコンパイラに適用するには、ある程度のエンジニアリングが必要です。この取り組みは手作業の量を減らし、APK全体でのネイティブライブラリの使用状況の概要を把握できるため、それだけの価値があります。

Binary Ninjaでデコンパイルされたネイティブ・コードのスクリーンショット
Binary Ninjaがデコンパイルしたネイティブ・コード
DDGifSlurpのファジング

目標とする関数に到達するにはどうすればよいでしょうか？

最初に私が（ライブラリがオープンソースなので）行ったのは、Android NDKを使ってv1.2.17リリースパッケージから自分専用のandroid-gif-drawableを作成したことです。次に、レビューを行い、バイナリで利用できるエクスポート項目を確認しました。

➜ nm -D lib/libpl_droidsonroids_gif_fixed.so | awk '$3 ~ /^D/ || $3 ~ /^Java_pl_/'
 0000000000006214 T DDGifSlurp
 000000000000ad14 T DGifCloseFile
 000000000000ac58 T DGifExtensionToGCB
 000000000000a91c T DGifGetCodeNext
 000000000000aa68 T DGifGetExtension
 000000000000ab20 T DGifGetExtensionNext
 0000000000009cc0 T DGifGetImageDesc
 000000000000a254 T DGifGetLine
 0000000000009b98 T DGifGetRecordType
 000000000000989c T DGifGetScreenDesc
 0000000000009644 T DGifOpen
 000000000000bb90 T DetachCurrentThread
 000000000000d53c T Java_pl_droidsonroids_gif_GifInfoHandle_bindSurface
 0000000000009314 T
Java_pl_droidsonroids_gif_GifInfoHandle_createTempNativeFileDescriptor
 00000000000091ac T
Java_pl_droidsonroids_gif_GifInfoHandle_extractNativeFileDescriptor
 0000000000006d20 T Java_pl_droidsonroids_gif_GifInfoHandle_free
 000000000000c238 T Java_pl_droidsonroids_gif_GifInfoHandle_getAllocationByteCount
 000000000000bd74 T Java_pl_droidsonroids_gif_GifInfoHandle_getComment
 000000000000c578 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentFrameIndex
 000000000000c528 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentLoop
 000000000000c008 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentPosition
 000000000000bf00 T Java_pl_droidsonroids_gif_GifInfoHandle_getDuration
 000000000000caa4 T Java_pl_droidsonroids_gif_GifInfoHandle_getFrameDuration
 000000000000cbc0 T Java_pl_droidsonroids_gif_GifInfoHandle_getHeight
 000000000000be68 T Java_pl_droidsonroids_gif_GifInfoHandle_getLoopCount
 000000000000c15c T Java_pl_droidsonroids_gif_GifInfoHandle_getMetadataByteCount
 000000000000c4d4 T Java_pl_droidsonroids_gif_GifInfoHandle_getNativeErrorCode
 000000000000cc14 T Java_pl_droidsonroids_gif_GifInfoHandle_getNumberOfFrames
 000000000000c5cc T Java_pl_droidsonroids_gif_GifInfoHandle_getSavedState
 000000000000bfb4 T Java_pl_droidsonroids_gif_GifInfoHandle_getSourceLength
 000000000000cb6c T Java_pl_droidsonroids_gif_GifInfoHandle_getWidth
 000000000000cc68 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexImage2D
 000000000000cd50 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexSubImage2D
 000000000000ce38 T Java_pl_droidsonroids_gif_GifInfoHandle_initTexImageDescriptor
 000000000000bde4 T Java_pl_droidsonroids_gif_GifInfoHandle_isAnimationCompleted
 000000000000cb10 T Java_pl_droidsonroids_gif_GifInfoHandle_isOpaque
 00000000000084cc T Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
 00000000000087a4 T Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
 0000000000008278 T Java_pl_droidsonroids_gif_GifInfoHandle_openFile
 0000000000009340 T Java_pl_droidsonroids_gif_GifInfoHandle_openNativeFileDescriptor
 0000000000008ab8 T Java_pl_droidsonroids_gif_GifInfoHandle_openStream
 000000000000e354 T Java_pl_droidsonroids_gif_GifInfoHandle_postUnbindSurface
 00000000000057dc T Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame
 000000000000597c T Java_pl_droidsonroids_gif_GifInfoHandle_reset
 000000000000611c T Java_pl_droidsonroids_gif_GifInfoHandle_restoreRemainder
 000000000000c9d8 T Java_pl_droidsonroids_gif_GifInfoHandle_restoreSavedState
 000000000000603c T Java_pl_droidsonroids_gif_GifInfoHandle_saveRemainder
 0000000000005f6c T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrame
 000000000000d4d0 T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrameGL
 0000000000005ccc T Java_pl_droidsonroids_gif_GifInfoHandle_seekToTime
 000000000000beb8 T Java_pl_droidsonroids_gif_GifInfoHandle_setLoopCount
 000000000000b948 T Java_pl_droidsonroids_gif_GifInfoHandle_setOptions
 00000000000059e4 T Java_pl_droidsonroids_gif_GifInfoHandle_setSpeedFactor
 000000000000cfa0 T Java_pl_droidsonroids_gif_GifInfoHandle_startDecoderThread
 000000000000d374 T Java_pl_droidsonroids_gif_GifInfoHandle_stopDecoderThread

 

DDGifSlurpを直接呼び出すことができることがわかっており、JNIがエクスポートした一連の関数も確認できるため、これは役立つ情報です。DDGifSlurpをもう一度調べると、最初の引き数が複雑なタイプGifInfoへのポインターであることがわかります。

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame)

 

df309bb - gif.hのコミットはこちら

struct GifInfo {
    void (*destructor)(GifInfo *, JNIEnv *);
    GifFileType *gifFilePtr;
    GifWord originalWidth, originalHeight;
    uint_fast16_t sampleSize;
    long long lastFrameRemainder;
    long long nextStartTime;
    uint_fast32_t currentIndex;
    GraphicsControlBlock *controlBlock;
    argb *backupPtr;
    long long startPos;
    unsigned char *rasterBits;
    uint_fast32_t rasterSize;
    char *comment;
    uint_fast16_t loopCount;
    uint_fast16_t currentLoop;
    RewindFunc rewindFunction;
    jfloat speedFactor;
    uint32_t stride;
    jlong sourceLength;
    bool isOpaque;
    void *frameBufferDescriptor;
};

 

ただし、偽のGifInfoオブジェクトを手動で作成することもできますが、このオブジェクトは非常に大きく、それ自体は他の複雑なタイプ（GifFileTypeなど）の複合タイプです。代わりに、他のネイティブ関数を調査して、GifInfoオブジェクトが通常どのように作成されるかを確認するほうが理にかなっています。すぐに有望な候補者を見つけることができます。

df309bb - gif.cのコミットはこちら

Java_pl_droidsonroids_gif_GifInfoHandle_openFile
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
Java_pl_droidsonroids_gif_GifInfoHandle_openStream

 

この中で、バイト系はオーバーヘッドが最も少ないと思われます。特に、openByteArrayではjbyteArrayオブジェクトを作成するだけで済みます。これはCで簡単に実行できます。

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, jclass __unused
class, jbyteArray bytes) {
    if (isSourceNull(bytes, env)) {
        return NULL_GIF_INFO;
    }
    ByteArrayContainer *container = malloc(sizeof(ByteArrayContainer));
    if (container == NULL) {
        throwException(env, OUT_OF_MEMORY_ERROR, OOME_MESSAGE);
        return NULL_GIF_INFO;
    }
    container->buffer = (*env)->NewGlobalRef(env, bytes);
    if (container->buffer == NULL) {
        free(container);
        throwException(env, RUNTIME_EXCEPTION_BARE, "NewGlobalRef failed");
        return NULL_GIF_INFO;
    }
    container->length = (unsigned int) (*env)->GetArrayLength(env, container->buffer);
    container->position = 0;
    GifSourceDescriptor descriptor = {
            .rewindFunc = byteArrayRewind,
            .sourceLength = container->length
    };
    descriptor.GifFileIn = DGifOpen(container, &byteArrayRead, &descriptor.Error);
    descriptor.startPos = container->position;

    GifInfo *info = createGifInfo(&descriptor, env);

    if (info == NULL) {
        (*env)->DeleteGlobalRef(env, container->buffer);
        free(container);
    }
    return (jlong) (intptr_t) info;
}

 

GifInfoオブジェクト自体は、createGifInfoによって作成されることに注意してください。

df309bb - init.cのコミットはこちら

GifInfo *createGifInfo(GifSourceDescriptor *descriptor, JNIEnv *env) {
    if (descriptor->startPos < 0) {
        descriptor->Error = D_GIF_ERR_NOT_READABLE;
    }
    if (descriptor->Error != 0 || descriptor->GifFileIn == NULL) {
        bool readErrno = descriptor->rewindFunc == fileRewind && (descriptor->Error ==
D_GIF_ERR_NOT_READABLE || descriptor->Error == D_GIF_ERR_READ_FAILED);
        throwGifIOException(descriptor->Error, env, readErrno);
        DGifCloseFile(descriptor->GifFileIn);
        return NULL;
    }

    GifInfo *info = malloc(sizeof(GifInfo));

...

    DDGifSlurp(info, false, false);
    info->rasterBits = NULL;
    info->rasterSize = 0;
    info->originalHeight = info->gifFilePtr->SHeight;
    info->originalWidth = info->gifFilePtr->SWidth;

...

上記のコード・スニペットでは、初期化関数もDDGifSlurpも呼び出していることがわかりますが、decode=falseのため脆弱なコードをトリガーできないことがわかります。このフラグをfalseに設定すると、DDGifSlurp内でisInitialPassケースがトリガーされます。これは、フレームを解析することなく、フレームごとのメタデータのみを記録します。

この時点で脆弱なコード・パスの呼び出し方法を十分に理解しているので、ファズしたい関数に到達するための一連の呼び出しをまとめることができます。

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ DDGifSlurp

 

しかし、ここには2つの要素が欠けています。まず、こうした呼び出しチェーンを何千も作成すると、メモリーが不足してハーネスがクラッシュするため、作成した参考情報を必ず解放する必要があります。これを達成するには、JNIがエクスポートした別の関数を使用できます。

df309bb - dispose.cのコミットはこちら

Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass __unused handleClass, jlong gifInfo)

 

2番目の欠落要素は、あまり明確ではありません。DDGifSlurpは、GIFを初期化するときフレームのリストを学習し、その都度、GifInfoオブジェクトを変更します。GIFを再度処理する前には、それを最初の状態に巻き戻す必要があります。そうすることで、以下に示すように、ByteArrayContainerの位置が開始位置にリセットされ、GifInfoオブジェクトの一部のプロパティがリセットされます。

df309bb - controle.cのコミットはこちら

bool reset(GifInfo *info) {
    if (info->rewindFunction(info) != 0) {
        return false;
    }
    info->nextStartTime = 0;
    info->currentLoop = 0;
    info->currentIndex = 0;
    info->lastFrameRemainder = -1;
    return true;
}

__unused JNIEXPORT jboolean JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *__unused  env, jclass  __unused
class, jlong gifInfo) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info != NULL && reset(info)) {
        return JNI_TRUE;
    }
    return JNI_FALSE;
}

 

最終的な呼び出しチェーンは次のようになります。

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ Java_pl_droidsonroids_gif_GifInfoHandle_reset
     |_ DDGifSlurp
       |_ Java_pl_droidsonroids_gif_GifInfoHandle_free

仮定をテストする

ディスクからGIFを取得し、それを呼び出しチェーンに渡すテスト・バイナリーを作成できます。jenvヘッダーファイル（このQuarkslabの投稿から引用）を含んでいることに注目してください。また、android-gif-drawableライブラリ自体から直接gifヘッダーも含まれています。

通常、ファジングのために、次の3つのシナリオのいずれかを採用します。

  • 一切の依存関係を詩よせず、純粋なネイティブ・ライブラリー・コードをファジングします。
  • JNINativeInterfaceJNIEnv ）に依存していますが、独自のネイティブ・コード（例：jbyteArray）を呼び出すために必要なすべての関数の引数を手動で作成できます。
  • Cでは作成できない複雑なJavaオブジェクトに依存します。この場合、APKまたはカスタムでコンパイルされたJavaクラスをロードして、引数をビルドする必要があります。

私たちの場合、openByteArrayには非常に単純なプロトタイプがあるため、この２番目のカテゴリーでは、追加の依存関係なしでCから関数の引数を作成することができます。

#include <errno.h>
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <stdbool.h>
#include <string.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

/* JNI symbols we call directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, class
clazz, jbyteArray bytes);
extern void  Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass clazz,
jlong gifInfo);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *env, class
clazz, jlong gifInfo);
extern jint JNI_OnLoad(JavaVM *vm, void *reserved);

static JavaCTX ctx;

/**
 * read_file - read an entire file into a memory buffer
 * @path: path to the input file
 * @out_len: pointer to size_t where the number of bytes read will be stored
 * Returns a pointer to the data, or NULL on error.
 * Caller is responsible for freeing the returned buffer.
 */
static uint8_t *read_file(const char *path, size_t *out_len) {
    FILE *f = fopen(path, "rb");
    if (!f) return NULL;
    fseek(f, 0, SEEK_END);
    long sz = ftell(f);
    rewind(f);
    if (sz <= 0) { fclose(f); return NULL; }
    uint8_t *buf = malloc((size_t)sz);
    if (!buf) { fclose(f); return NULL; }
    if (fread(buf, 1, (size_t)sz, f) != (size_t)sz) { free(buf); fclose(f); return
NULL; }
    fclose(f);
    *out_len = (size_t)sz;
    return buf;
}

/**
 * main - read a GIF file, run DDGifSlurp to trigger CVE-2019-11932, and print results
 * @argc: number of command-line arguments
 * @argv: argument vector, expects GIF file path as argv[1]
 * Returns exit code, 0 on success, non-zero on error
 */
int main(int argc, char *argv[]) {
    if (argc != 2) {
        fprintf(stderr, "Usage: %s <gif_path>\n", argv[0]);
        return 1;
    }
    const char *input_path = argv[1];
    /* 1. Read GIF from disk */
    size_t len = 0;
    uint8_t *data = read_file(input_path, &len);
    if (!data) {
        fprintf(stderr, "[-] Failed to read %s\n", input_path);
        return 1;
    }


    /* 2. Initialize Java VM without custom options */
    if (init_java_env(&ctx, NULL, 0) != 0) {
        fprintf(stderr, "[-] init_java_env failed\n");
        free(data);
        return 1;
    }

    /* get JNIEnv */
    JNIEnv *e = ctx.env;

    /* 3. Ensure GIF library's JNI_OnLoad runs to set up g_jvm */
    JNI_OnLoad(ctx.vm, NULL);

    /* 4. Single open-decode-free cycle */

    /* Create Java byte[] */
    jbyteArray arr = (*e)->NewByteArray(e, (jsize)len);
    if (!arr) {
        fprintf(stderr, "[-] NewByteArray failed\n");
        free(data);
        return 1;
    }
    (*e)->SetByteArrayRegion(e, arr, 0, (jsize)len, (const jbyte *)data);

    /* open */
    jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(e, NULL, arr);
    (*e)->DeleteLocalRef(e, arr);
    if ((*e)->ExceptionCheck(e) || gptr == 0) {
        fprintf(stderr, "[-] openByteArray failed\n");
        (*e)->ExceptionClear(e);
        free(data);
        return 1;
    }

    /* rewind */
    Java_pl_droidsonroids_gif_GifInfoHandle_reset(e, NULL, gptr);

    /* decode (vulnerable) */
    DDGifSlurp((GifInfo *)(intptr_t)gptr, true, false);

    /* print some info */
    GifInfo *info = (GifInfo *)(intptr_t)gptr;
    printf("[+] GifInfo at %p: %lu x %lu, %lu frames, loop %lu, error %d\n",
           (void*)info,
           (unsigned long)info->originalWidth,
           (unsigned long)info->originalHeight,
           (unsigned long)info->gifFilePtr->ImageCount,
           (unsigned long)info->loopCount,
           (int)info->gifFilePtr->Error);

    /* free */
    Java_pl_droidsonroids_gif_GifInfoHandle_free(e, NULL, gptr);
    (*e)->ExceptionClear(e);
    free(data);
    return 0;
}

上記のコードは、ディスクから画像を読み取り、Java仮想マシン（JVM）を初期化して、jbyteArrayを作成し、画像を呼び出しチェーンに渡します。最後に、GifInfoオブジェクトからいくつかのプロパティを表示し、メタデータをいくつか取得し、コードがエラーなく完了するまで実行されたことを確認できます。その後、このテスト バイナリを使用して、クラッシュが発見されたときにデバッグできます。

DDGifSlurpテスト実行のスクリーンショット
DDGifSlurpテスト実行

ハーネスのビルド

背後には困難な部分があるため、テスト・コードをAFL++の定型文に含めることで、ファジング・ハーネスを作成できます。main内では、Java VMを初期化し、バイト配列をインプットとして受け取る関数を作成します。この関数（fuzz_one_input）は、インプットが指定されると、呼び出しチェーンのステップに必要なすべてのアクションを1回実行します。Fridaを使用してこの関数をフックするので、AFLはインプットをこの関数に渡し、カバレッジを収集できます。

#include <errno.h>
#include <stdio.h>
#include <stdint.h>
#include <jni.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

#define BUFFER_SIZE 65536

/* JNI symbols we invoke directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *, class,
jbyteArray);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *, class,
jlong);
extern void Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *, jclass, jlong);
extern jint JNI_OnLoad(JavaVM *, void *);

static JavaCTX ctx;

/*
 * fuzz_one_input – entry used by Frida-AFL persistent mode.
 * Creates a GifInfo from the fuzz data, rewinds the stream, runs a full
 * decode with DDGifSlurp, then frees the structure.
 */
__attribute__((visibility("default")))
void fuzz_one_input(const uint8_t *data, size_t len) {
  JNIEnv *env = ctx.env;
  if (len < 6) return; /* need at least GIF header */

  /* Create Java byte[] */
  jbyteArray arr = (*env)->NewByteArray(env, (jsize)len);
  if (!arr) return;
  (*env)->SetByteArrayRegion(env, arr, 0, (jsize)len, (const jbyte *)data);

  /* GifInfoHandle.openByteArray */
  jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(env, NULL, arr);
  (*env)->DeleteLocalRef(env, arr);
  if ((*env)->ExceptionCheck(env) || gptr == 0) {
    (*env)->ExceptionClear(env);
    return;
  }

  /* Rewind so decode starts at offset 0 */
  Java_pl_droidsonroids_gif_GifInfoHandle_reset(env, NULL, gptr);

  /* Full decode – this is where CVE-2019-11932 triggers */
  GifInfo *info = (GifInfo *)(intptr_t)gptr;
  DDGifSlurp(info, true, false);

  /* Cleanup */
  Java_pl_droidsonroids_gif_GifInfoHandle_free(env, NULL, gptr);
  (*env)->ExceptionClear(env);
}

/**
 * main - AFL-Frida fuzzing harness entry point
 *
 * Reads up to BUFFER_SIZE bytes from stdin, initializes the Java VM,
 * invokes fuzz_one_input for persistent-mode decoding, and exits.
 *
 * Return: 0 on success (no crash or crash handled by AFL),
 *         non-zero on initialization or read error.
 */
int main(void) {
  uint8_t buffer[BUFFER_SIZE];
  ssize_t rlen = fread(buffer, 1, sizeof buffer, stdin);
  if (rlen == -1) return errno;

  /* Start JVM with default options */
  if (init_java_env(&ctx, NULL, 0) != 0) return 1;

  /* Ensure gif library initialises its global JVM pointer */
  JNI_OnLoad(ctx.vm, NULL);

  fuzz_one_input(buffer, (size_t)rlen);
  return 0;
}

 

以下の小さなFridaスクリプトでは、AFL++がインプットをハーネスに渡しています。各AFLテスト・ケースを関数のインプット・バッファーに直接コピーする小さなCフックを挿入し、各反復を再起動する場所をAFL++に正確に指示し、Fridaのインストゥルメンテーションを活用してカバレッジを収集します。

Afl.print(`[*] Starting FRIDA config for PID: ${Process.id}`);

// Modules to be instrumented by Frida
const MODULE_WHITELIST = [
  "fuzz_DDGifSlurp",
  "libpl_droidsonroids_gif_fixed.so",
];

// Persistent hook
const hook_module = new CModule(`
  #include <string.h>
  #include <gum/gumdefs.h>

  #define BUF_LEN 65536

  void afl_persistent_hook(GumCpuContext *regs, uint8_t *input_buf,
    uint32_t input_buf_len) {

    uint32_t length = (input_buf_len > BUF_LEN) ? BUF_LEN : input_buf_len;
    memcpy((void *)regs->x[0], input_buf, length);
    regs->x[1] = length;
  }
  `,
  {
    memcpy: Module.getExportByName(null, "memcpy")
  }
);

// Persistent loop start address
const pPersistentAddr = DebugSymbol.fromName("fuzz_one_input").address;

// Exclude from instrumentation
Module.load("libandroid_runtime.so");
new ModuleMap().values().forEach(m => {
  if (!MODULE_WHITELIST.includes(m.name)) {
    Afl.print(`Exclude: ${m.base}-${m.base.add(m.size)} ${m.name}`);
    Afl.addExcludedRange(m.base, m.size);
  }
});

Afl.setEntryPoint(pPersistentAddr);
Afl.setPersistentHook(hook_module.afl_persistent_hook);
Afl.setPersistentAddress(pPersistentAddr);
Afl.setPersistentCount(3000); // Limit how many iterations before reinitializing
                              // the environment
Afl.setInMemoryFuzzing();
Afl.setInstrumentLibraries();
Afl.done();
Afl.print("[*] All done!");

そして最後に、ファジングを開始することができます。

panther: # su
panther: # cd /sys/devices/system/cpu
panther:/sys/devices/system/cpu # echo performance | tee cpu*/cpufreq/scaling_governor
performance
panther:/sys/devices/system/cpu # cd /data/local/tmp/whatsapp
panther:/data/local/tmp/whatsapp # ./afl-fuzz -O -G 4096 -i in -o out
./fuzz_DDGifSlurp

 

これは、実行を終了する前に、ファジングを約7時間稼働させました。以下のAFLアウトプットからわかるように、2億回を超えるテスト・ケースを実行し、29,100件のクラッシュを記録し、そのうち42件が保存されました。AFLは、信号タイプ、障害アドレス、およびカバレッジマップ内のエッジに基づいていくつかのヒューリスティックを適用し、クラッシュが十分に興味深いかどうかを判断します。これは、これらのクラッシュがそれぞれ1つずつ異なるということを意味するものではありません。

AFL++オンデバイス・ファジングのスクリーンショット
AFL++オンデバイス・ファジング

クラッシュのトリアージ

クラッシュをトリアージしたい場合は、DDGifSlurpデコード条件内で何が起こっているかについてより多くの洞察を得るためのPrintステートメントを追加することで、脆弱なライブラリを補強できます。

if (decode) {
    // Print raw values used in calculations
    printf("[DEBUG] Image.Width=%u, Image.Height=%u, originalWidth=%u,
originalHeight=%u, currentRasterSize=%u\n",
           (unsigned)gifFilePtr->Image.Width,
           (unsigned)gifFilePtr->Image.Height,
           (unsigned)info->originalWidth,
           (unsigned)info->originalHeight,
           (unsigned)info->rasterSize);

    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr->Image.Height;

    // Pretty-print computed overflow and new raster size
    printf("[DEBUG] widthOverflow=%d, heightOverflow=%d, newRasterSize=%u\n",
           (int)widthOverflow,
           (int)heightOverflow,
           (unsigned)newRasterSize);

    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

利便性のために、ASantest_DDGifSlurpを再コンパイルすることもできます。これにより、必ずしもLLBDをすぐに使用しなくても、ランタイムに問題が発生したことに関するより詳細な情報が得られます。

➜  cmake \                                                          
    -DANDROID_PLATFORM=31 \
     -DCMAKE_TOOLCHAIN_FILE=/opt/homebrew/share/android-ndk/build/cmake/android.toolchain.cmake \
     -DANDROID_ABI=arm64-v8a \
     -DANDROID_ENABLE_ASAN=ON \
     -DCMAKE_BUILD_TYPE=Debug \
     -DCMAKE_C_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_CXX_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_SHARED_LINKER_FLAGS="-fsanitize=address" \
     -DCMAKE_EXE_LINKER_FLAGS="-fsanitize=address" \
     .
 ➜  make

 

この脆弱性には、GIF フレームのサイズと構成に応じて発生する可能性のあるバリエーションがいくつかあります。

android-gif-drawable DDGifSlurpダブルフリーのスクリーンショット
android-gif-drawable DDGifSlurダブルフリー

この例では、Awakened氏がブログ記事に書いたものとほぼ同一のバリエーションがあることがわかります。

  • 初期状態originalWidthの値は16697、 originalHeightの値は65530
  • フレーム0Image.Widthの値が32768でoriginalWidthより大きい。そのため、reallocarrayをトリガーします。ただし、Image.Heightの値は0であるため、最終的なrasterSize32768*0 = 0になります。代わりにreallocarrayの内部動作によりポインターを解放し、未解決の参照を手放し、中断します。
  • フレーム1Image.Widthの値は65535で、やはりoriginalWidthより大きく、Image.Heightは再び0となり、同じ挙動となったため、再び同じポインタを解放し、ASanをトリガーします。

まとめ

パーサーを正しく使用するのは明らかに骨の折れる作業で、簡単に誤りを犯したり、パーサーが処理すべきデータについて誤った仮定をたててしまいます。私たちのハーネスを使用すると、この脆弱性を非常に簡単に再発見できました。実際、最初のクラッシュは実行開始のわずか数分後に報告されています。

この種のライブラリがメッセージング・アプリなどのセキュリティクリティカルなアプリケーションに含まれている場合は、間違いなく広範な手動テストと自動テストの対象となります。アプリケーション・エンジニアがライブラリ・コードを検証しない場合、研究者がそれを検証すべきなのは明らかです（研究者が結果を報告する場合もそうでない場合もあり、判断しない場合もあります）。

付録

このバグは2019年に報告され修正されましたが、私は興味を持ち、リポジトリの問題の履歴を少し調査しました。驚いたことに、活動停止のためにクローズされた、この脆弱性とほぼ確実に関連する2016年問題を見つけましたた。

GitHub renderFrameクラッシュのスクリーンショット
GitHub renderFrameのクラッシュ

ユーザーは、Java_pl_droidsonroids_gif_GifInfoHandle_renderFrameからのクラッシュを報告しており、これは、ライブラリーが脆弱なDDGifSlurp呼び出しを使用する典型的な方法です。ここでは、次の理由で、この関数を呼びません。

  • 反復ごとに、あるいはいくつかのトリックで単一のオブジェクトを再利用するために、JavaのBitmapオブジェクトを作成する必要があります。
  • 各ファジングの反復ごとに、ピクセルを ロックアンロックする必要があります。

これらのアクションは、1秒に何千回も実行すると膨大な計算になります。そして、脆弱な関数を実行するためには必要ありません。

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame(JNIEnv *env, jclass __unused
handleClass, jlong gifInfo, jobject jbitmap) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info == NULL)
        return -1;

    long renderStartTime = getRealTime();
    void *pixels;
    if (lockPixels(env, jbitmap, info, &pixels) != 0) {
        return 0;
    }
    DDGifSlurp(info, true, false);
    if (info->currentIndex == 0) {
        prepareCanvas(pixels, info);
    }
    const uint_fast32_t frameDuration = getBitmap(pixels, info);
    unlockPixels(env, jbitmap);
    return calculateInvalidationDelay(info, renderStartTime, frameDuration);
}

 

脆弱性研究（VR）コミュニティの多くの研究者は、機密性の高いアプリケーションに読み込まれたオープンソース・ライブラリーからの、未解決および解決済みのGitHubの問題を監視していると予想されます。WhatsAppがターゲットとして非常に有名であることを考えると、android-gif-drawableライブラリーでこの特定の問題やその他の問題を最初に目にしたのは私が最初であるとは思えません。もしこのバグが2019年以前に知られていたとしても、特に驚かないでしょう。

参照

1. WhatsAppのダブルフリーバグがRCEにどう変わるのか - こちら

  • 脆弱性とエクスプロイテーションの方法について説明したAwakened氏による元のブログ記事。この研究者はブログに他にも興味深い記事を書いていますが、不思議なことに、WhatsAppの脆弱性に関する投稿に続く新しいエントリーは1件もありません。どこかの研究室で、この素晴らしい人材がチームに加わったということでしょうか。

2.パッチが適用されたGIF処理の脆弱性が依然モバイルアプリに影響 -こちら

  • 古いバージョンのライブラリを実行している他のAndroidアプリケーションへの影響も分析している、Trend Microによる非常に優れた分析です。

3. AFL++ FridaモードによるAndroidグレーボックスのファジング -こちら

  • ネイティブ、弱いリンク、強いリンクなど、さまざまな設定におけるJNI関数のファジングに関する基本的な背景について説明しています。Eric Le Guevel @quarkslabによって書かれました。

4. Androidネイティブライブラリ上のAFL++ Frida-Modeを活用したFuzzing Redux - こちら

  • これは、2024年に私が作成した投稿です。ビルド情報と使用例を含むAFL++ Frida-Modeの詳細な背景を提供しています。

5. android-gif-drawable - こちら

  • 脆弱なライブラリの最新バージョンv1.2.17は こちら
