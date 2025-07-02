이 게시물은 부분적으로는 WhatsApp에서 사용하는 이미지 처리 라이브러리의 이중 무료 취약점(CVE-2019-11932)에 대한 분석이며, 부분적으로는 Android에서 네이티브 라이브러리를 퍼징할 때 온디바이스 하네스 개발을 위한 참고 자료입니다. 문제를 공개한 연구원인 Awakened의 블로그 게시물을 읽고 이 취약점을 처음 알게 되었습니다. 작성자는 이 문제가 어떻게 발견되었는지 자세히 설명하지 않았으며, 저는 버그를 재발견하는 것이 얼마나 어려운지 이해하고 싶었습니다. 앞으로 살펴보겠지만, 취약점 자체는 상당히 얕으며 AFL++로 취약한 라이브러리를 퍼징하여 쉽게 재현할 수 있습니다.
이 CVE가 특히 흥미로운 이유는 취약한 라이브러리 코드(android-gif-drawable < v1.2.18)가 누군가에게 변조된 GIF 파일을 전송하여 원격으로 실행될 수 있다는 점입니다. 이 원시적인 방식은 WhatsApp 이미지 갤러리를 여는 것과 같은 일부 수동 작업을 대상에게 의존했기 때문에 완벽하지 않았습니다. 또한 이 취약점은 정보 유출 및 권한 상승과 같은 추가 취약점을 포함하는 더 큰 구성 요소 체인의 일부일 뿐입니다. 그럼에도 불구하고, 이러한 취약점은 인간 지능에 큰 잠재적 가치를 제공하기 때문에 드물고 비용이 많이 듭니다. 또한 이 사례는 애플리케이션이 코드베이스에 포함된 라이브러리를 감사하는 것이 왜 그렇게 중요한지를 잘 보여줍니다. 대기업은 제품에 사용하는 오픈 소스 소프트웨어(OSS)의 보안에 기여하고 보안을 개선하기 위해 더 많은 노력을 기울여야 할 것입니다. 보다 최근의 유사한 사례로 libxml2에서 5개의 취약점이 공개되었습니다.
Awakened의 취약점 기록을 바탕으로 GIF 디코딩 루틴에 집중했습니다. GIF 파일은 헤더와 논리적 화면 설명자로 구성되며, 그 뒤에 각 프레임에 대한 레코드 스트림이 따라옵니다. 이러한 레코드는 이미지 설명자(너비, 높이, 위치 및 팔레트), 선택적 확장 블록(투명도, 지연 등) 및 압축된 픽셀 데이터로 구성됩니다. decoding.c에는 GIF 레코드 스트림을 탐색하고 프레임별 메타데이터를 구축하는 DDGifSlurp라는 함수가 있습니다. Decode=true인 경우 프레임당 원시 픽셀을 추출합니다. 일반적으로 프레임은 동일한 크기입니다. GIF를 보면 일련의 프레임이 반복적으로 재생되는 것을 볼 수 있기 때문에 이는 의미가 있습니다. 프레임의 크기가 동일한 경우 함수는 버퍼(rasterBits)를 저장하기 위해 생성한 할당을 계속 재사용합니다. 그러나 이 함수는 reallocarray를 호출하여 새 버퍼를 할당함으로써 프레임의 크기가 다른 경우를 처리합니다. realoc 함수는 free와 malloc의 조합입니다.크기가 제공되지 않으면 단순히 포인터를 해제합니다.
여기에 df309bb - decoding.c를 커밋합니다.
첫 번째 프레임의 크기가 40*10의 정상적인 크기라고 가정하면 400바이트의 버퍼가 할당됩니다. 두 번째 프레임에는 0*20의 비정상적인 크기가 있습니다 . 이 경우 다음과 같은 상황이 발생합니다.
reallocarray가 호출되면 할당 크기가 0*20=0으로 계산 되며, 이로 인해 rasterBits가 해제됩니다. 세 번째 프레임에 유사한 형식의 치수가 있는 경우 동일한 포인터를 다시 해제하여 이중 해제가 발생합니다.
기호는 중요합니다. 기호를 사용하면 코드의 기능을 더 쉽게 해석할 수 있습니다. Android Package Kit(APK)에서 추출한 라이브러리를 분석하면 심볼이 제거될 가능성이 높습니다. 특히 android-gif-drawable의 경우 소스에 액세스할 수 있기 때문에 문제가 되지 않습니다. 하지만 폐쇄형 소스 바이너리를 리버스 엔지니어링해야 하는 경우 최소한 Java Native Interface(JNI) 유형을 적용하여 연구 과정을 더 간단하게 만들어야 합니다. 여기에서 @Ch0pin의 게시물을 읽어보시면 더 자세한 배경 지식을 얻을 수 있습니다. 제 경우에는 Binary Ninja를 사용하고 있으며 여기에서 가져올 수 있는 작업 유형 헤더 파일을 찾았습니다.
유형을 적용하는 방법을 이해하려면 디컴파일된 APK에서 네이티브 선언을 검색하면 됩니다. 스크린샷 아래에서, 우리는 JEB에 있는 Apk의 android-gif-drawable 선언 중 일부를 볼 수 있습니다.
GetFrameDuration을 예로 들어 보겠습니다.
여기서 J는 jlong으로 번역되고 I는 jint로 번역됩니다. 함수에는 jint의 반환 유형도 있습니다. 이러한 값을 네이티브 JNI 호출을 위한 표준 호출 규칙과 결합하면 다음과 같이 됩니다.
이 프로세스에 일부 자동화를 적용할 수 있습니다(androguard, JEB API 등사용). 적절한 유형 매핑을 사용하면 프로그래밍 방식으로 모든 클래스를 살펴보고 식별된 모든 유형을 분석 중인 라이브러리에 적용할 수 있습니다.
APK를 파싱하고 호출 정의를 추출하여 원하는 디컴파일러에 적용하려면 일부 엔지니어링이 필요합니다. 이러한 노력은 수작업의 양을 줄이고 APK 전체의 네이티브 라이브러리 사용에 대한 높은 수준의 개요를 제공할 수 있기 때문에 그만한 가치가 있습니다.
라이브러리가 오픈 소스이기 때문에 가장 먼저 한 일은 Android NDK를 사용하여 v1.2.17 릴리스 패키지에서 나만의 android-gif-drawable 버전을 빌드하는 것이었습니다. 그런 다음 바이너리에서 사용할 수 있는 내보내기를 검토했습니다.
이는 DDGifSlurp를 직접 호출할 수 있고 JNI로 내보낸 함수 세트를 볼 수 있기 때문에 유용한 정보입니다. DDGifSlurp를 다시 살펴보면 첫 번째 인수가 복잡한 유형인GifInfo에 대한 포인터임을 알 수 있습니다.
여기에서 df309bb - gif.h를 커밋합니다.
가짜 GifInfo 객체를 수동으로 만들 수도 있습니다. 그러나 객체는 상당히 크고 그 자체가 다른 복합 유형(예: GifFileType)의 합성물입니다. 대신 다른 네이티브 함수를 조사하여 GifInfo 객체가 일반적으로 어떻게 생성되는지 확인하는 것이 더 합리적입니다. 잠재적인 후보자를 빠르게 찾을 수 있습니다.
여기에서 df309bb - gif.c를 커밋합니다.
이 중 바이트 변형이 오버헤드가 가장 적은 것으로 보입니다. 특히 openByteArray는 jbyteArray 객체를 생성하기만 하면 되는데, 이는 C에서 쉽게 수행할 수 있습니다.
GifInfo 객체 자체는 createGifInfo에 의해 생성됩니다.
여기에서 df309bb - init.c를 커밋합니다.
위의 코드 스니펫에서 초기화 함수가 DDGifSlurp도 호출하는 것을 볼 수 있지만, decode=false이므로 취약한 코드를 트리거할 수 없습니다. 이 플래그를 false로 설정하면 DDGifSlurp 내에서 isInitialPass 사례가 트리거되어 프레임을 구문 분석하지 않고 프레임별 메타데이터만 기록합니다.
이 시점에서 우리는 취약한 코드 경로를 호출하는 방법을 꽤 잘 이해했고, 퍼징하려는 함수에 도달하기 위해 일련의 호출을 구성할 수 있습니다.
하지만 여기에는 두 가지 요소가 빠져 있습니다. 첫째, 이러한 호출 체인을 수천 개 생성하면 메모리가 부족해지고 하네스가 다운되므로 생성한 리소스를 모두 해제해야 합니다. 이를 위해 JNI에서 내보낸 또 다른 함수를 사용할 수 있습니다.
여기에서 df309bb - dispose.c를 커밋합니다.
두 번째 누락된 요소는 훨씬 덜 명확합니다. DDGifSlurp는 GIF를 초기화할 때 프레임 목록을 탐색하면서 GifInfo 객체를 수정합니다. GIF를 다시 처리하려면 먼저 초기 상태로 되감아야 합니다. 이렇게 하면 아래에서 볼 수 있듯이 ByteArrayContainer의 위치가 시작 위치로 재설정되고 GifInfo 객체의 일부 속성이 재설정됩니다.
여기에서 df309bb - control.c를 커밋합니다.
최종 호출 체인은 다음과 같습니다.
디스크에서 GIF를 가져와 콜 체인을 통과하는 테스트 바이너리를 만들 수 있습니다. 이 Quarkslab 게시물에서 가져온 jenv 헤더 파일과 android-gif-drawable 라이브러리 자체에서 직접 가져온 gif 헤더도 포함되어 있습니다.
일반적으로 퍼징의 경우 다음 세 가지 시나리오 중 하나에 해당합니다.
우리의 경우, openByteArray는 매우 간단한 프로토타입을 가지고 있기 때문에 추가 종속성 없이 C에서 함수 인수를 만들 수 있는 두 번째 범주에 속합니다.
위의 코드는 디스크에서 이미지를 읽고, Java 가상 머신(JVM)을 초기화하고, jbyteArray를 생성하고, 호출 체인을 통해 이미지를 전달합니다. 마지막에는 GifInfo 객체의 일부 속성을 인쇄하여 메타데이터를 얻고 코드가 오류 없이 완료되었는지 확인할 수 있습니다. 나중에 이 테스트 바이너리를 사용하여 발견한 충돌을 디버깅할 수 있습니다.
어려운 부분을 뒤로하고 테스트 코드를 AFL++ 상용구로 감싸서 퍼징 하네스를 만들 수 있습니다. 메인에서는 Java VM을 초기화한 다음 바이트 배열을 입력으로 받는 함수를 생성합니다. 이 함수 fuzz_one_input은 제공된 입력을 사용하여 호출 체인을 단계별로 실행하는 데 필요한 모든 작업을 수행합니다. Frida를 사용하여 이 함수를 연결하여 AFL이 입력을 전달하고 커버리지를 수집할 수 있도록 할 것입니다.
아래의 작은 Frida 스크립트를 사용하면 AFL++가 입력을 하네스에 전달할 수 있습니다. 각 AFL 테스트 케이스를 함수 입력 버퍼에 직접 복사하고, 각 반복에서 다시 시작할 위치를 AFL++에 정확히 알려주고, Frida의 계측을 활용하여 커버리지를 수집하는 작은 C 후크를 주입합니다.
마지막으로 전화에서 퍼징을 시작할 수 있습니다.
퍼저를 약 7시간 동안 실행한 후 종료했습니다. 아래 AFL 아웃풋에서 볼 수 있듯이, 2억 건 이상의 테스트 케이스를 실행하여 29.1만 건의 충돌을 기록했으며, 이 중 42건이 저장되었습니다. AFL은 신호 유형, 결함 주소 및 커버리지 맵의 엣지를 기반으로 몇 가지 휴리스틱을 적용하여 충돌이 유지하기에 충분히 흥미로운지 여부를 결정합니다. 이것이 각 사고가 독특하다는 뜻은 아닙니다.
충돌을 분류하려면 DDGifSlurp 디코딩 조건 내에서 발생하는 상황에 대한 더 많은 인사이트를 제공하는 몇 가지 추가 인쇄 명령문을 추가하여 취약한 라이브러리를 보강할 수 있습니다.
편의를 위해 ASan으로 test_DDGifSlurp를 다시 컴파일할 수도 있습니다. 이를 통해 LLBD를 즉시 살펴볼 필요 없이 런타임에 무엇이 잘못되었는지에 대한 자세한 정보를 얻을 수 있습니다.
이 취약점은 GIF 프레임의 크기와 구성에 따라 트리거될 수 있는 몇 가지 변형이 있습니다.
이 예에서는 Awakened의 블로그 게시물과 거의 동일한 변형을 볼 수 있습니다.
파서를 올바르게 만드는 것은 분명 까다롭고, 파서가 처리할 데이터에 대해 실수를 하거나 잘못된 가정을 하는 경우가 잦습니다. 이 취약점은 하네스를 통해 쉽게 다시 발견할 수 있었습니다. 실제로 첫 번째 충돌은 달리기 시작 후 불과 몇 분 만에 보고되었습니다.
라이브러리가 메시지 앱과 같은 보안이 매우 중요한 애플리케이션에 포함되어 있는 경우에는 광범위한 수동 및 자동 테스트를 거쳐야 합니다. 애플리케이션 엔지니어가 라이브러리 코드를 검증하지 않으면 연구자가 결과를 보고할 수도 있고 보고하지 않을 수도 있다는 것이 분명합니다.
이 버그는 2019년에 보고되어 수정되었지만 호기심이 생겨서 리포지토리의 이슈 이력을 조사해 보았습니다. 놀랍게도 2016년에 활동하지 않아 종료된 이슈를 발견했는데, 거의 확실하게 동일한 취약점과 관련이 있는 것으로 보입니다.
사용자는 라이브러리가 취약한 DDGifSlurp 호출을 사용하는 일반적인 방식인 Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame에서 충돌이 발생했다고 보고했습니다. 우리 하네스에서는 이 함수를 호출하지 않습니다.
이러한 작업은 초당 수천 번 수행하면 컴퓨팅 집약적이며, 취약한 기능을 실행하는 데 필요하지 않습니다.
취약성 연구(VR) 커뮤니티의 많은 연구자들이 민감한 애플리케이션에서 로드되는 오픈 소스 라이브러리에서 공개 및 비공개 GitHub 문제를 모니터링하고 있을 것으로 예상합니다. WhatsApp이 얼마나 세간의 이목을 끄는 대상인지를 고려할 때, 이 특정 문제와 다른 문제를 android-gif-drawable 라이브러리에서 내가 처음으로 보는 것은 의심의 여지가 있습니다. 이 버그가 2019년 이전에 알려졌더라도 전혀 놀라지 않을 것입니다.
