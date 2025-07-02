Etiquetas
Seguridad

Reproducir un error de un millón de dólares: WhatsApp CVE-2019-11932 (con AFL y Frida)

Primer plano de las manos de una mujer sosteniendo un smartphone y enviando mensajes delante de una camiseta amarilla

Autores

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

Introducción

Esta publicación es en parte un análisis de una vulnerabilidad sin dobles (CVE-2019-11932) en una biblioteca de procesamiento de imágenes utilizada por WhatsApp y en parte una referencia para el desarrollo de arneses en el dispositivo al realizar fuzzing de bibliotecas nativas en Android. Me enteré de esta vulnerabilidad leyendo una entrada en el blog de Awakened, la investigadora que reveló el problema. El autor no explicó cómo se encontró este problema, y quería entender lo difícil que sería redescubrirlo. Como veremos, la vulnerabilidad en sí es bastante superficial y es fácil de reproducir mediante la fusión de la biblioteca vulnerable con AFL++.

Este CVE es especialmente interesante porque el código vulnerable de la biblioteca (android-gif-drawable < v1.2.18) podía activar remotamente enviando a alguien un archivo GIF mal deformado. Esta primitiva no era perfecta, ya que dependía de que el objetivo realizara algunas acciones manuales, como abrir la galería de imágenes de WhatsApp. Además, esta vulnerabilidad solo sería parte de una cadena de componentes más grande que incluiría vulnerabilidades adicionales, por ejemplo, para realizar fugas de información y escalar privilegios. Aun así, este tipo de vulnerabilidades son raras y costosas debido al valor potencial de inteligencia humana que proporcionan. Este caso también ilustra por qué es tan importante que las aplicaciones auditen las bibliotecas que incluyen en su base de código. Las grandes empresas quizás deberían hacer más para contribuir y mejorar la seguridad del software de código abierto (OSS) que emplean en sus productos. Un ejemplo más reciente y análogo dio lugar a la divulgación de cinco vulnerabilidades en libxml2.

CVE-2019-11932 análisis de causa principal (RCA)

Con base en el informe de vulnerabilidades de Awakened , enfoqué mis esfuerzos en la rutina de decodificación de GIF. Un archivo GIF está estructurado como un encabezado y un descriptor de pantalla lógico seguido de un flujo de registros para cada fotograma. Estos registros constan de un descriptor de imagen (ancho, alto, posición y paleta), bloques de extensión opcionales (transparencia, retrasos, etc.) y datos de píxeles comprimidos. En decoding.c hay una función, DDGifSlurp, que recorre los flujos de registro GIF y crea metadatos por fotograma. Si decode=true, extrae píxeles sin procesar por fotograma. Normalmente, los marcos son del mismo tamaño. Esto tiene sentido porque cuando miras un GIF, ves una serie de fotogramas que se reproducen en un bucle. Cuando los marcos tienen el mismo tamaño, la función seguirá reutilizando la asignación que ha creado para almacenar el búfer (rasterBits). Sin embargo, la función maneja los casos en los que los marcos tienen un tamaño diferente llamando a reallocarray para asignar un nuevo búfer. La función realloc es una combinación de free y malloc. Si no se proporciona ningún tamaño, simplemente libera el puntero.

Commit df309bb - decoding.c aquí

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame) {
    GifRecordType RecordType;
    GifByteType *ExtData;
    int ExtFunction;
    GifFileType *gifFilePtr;
    gifFilePtr = info->gifFilePtr;
    uint_fast32_t lastAllocatedGCBIndex = 0;

...

if (decode) {
    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr-
->Image.Height;
    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

Si imaginamos que el primer fotograma tiene unas dimensiones normales (40*10), se asigna un búfer de 400 bytes. El segundo fotograma tiene unas dimensiones incorrectas ( 0*20). En este caso, se cumple lo siguiente:

  • widthOverflow es falso
  • heightOverflow es cierto
  • newRasterSize es 0

Cuando se llama a reallocarray, el tamaño de la asignación se calcula como 0*20=0; esto hace que rasterBits se libere. Si el tercer marco tiene dimensiones igualmente malformadas, liberael mismo puntero de nuevo, lo que da lugar a una doble liberación.

android-gif-drawable

Símbolos

Los símbolos son importantes; facilitan la interpretación de lo que está haciendo un fragmento de código. Si analiza bibliotecas que se extrajeron de un Android Package Kit (APK), lo más probable es que se les quiten los símbolos. En nuestro caso particular, para android-gif-drawable, esto no es un problema porque tenemos acceso a la fuente. Sin embargo, si necesita aplicar ingeniería inversa a un binario de código cerrado, al menos debe aplicar los tipos de interfaz nativa de Java (JNI) para que el proceso de investigación sea más sencillo. Hay una publicación de @Ch0pin que puedes leer aquí para obtener más información. En mi caso, estoy usando Binary Ninja y he encontrado un archivo de encabezado de tipo funcional que se puede importar aquí.

Para comprender cómo aplicar los tipos, puede buscar declaraciones nativas en el APK descompilado. En la siguiente captura de pantalla, podemos ver algunas de las declaraciones android-gif-drawable del APK en JEB.

captura de pantalla del código de bytes JEB Dalvik
Código de bytes JEB Dalvik

Tomemos getFrameDuration como ejemplo:

.method public static native getFrameDuration(J, I)I
.end method

 

Aquí, J se traduce como jlong e I se traduce como jint. Tenga en cuenta que la función también tiene un tipo de retorno de jint. Si combinamos estos valores con la convención de llamada estándar para la invocación nativa de JNI, terminamos con:

jint getFrameDuration(JNIEnv* env, jclass clazz, jlong arg0, jint arg1)

 

Puedes aplicar Automatización a este proceso (usando androguard, la API de JEB, etc). Con las asignaciones de tipos adecuadas, puedes recorrer programáticamente cada clase y aplicar todos los tipos identificados a la biblioteca que estás analizando.

Extracción y aplicación de símbolos JNI a una base de datos Binary Ninja
Extracción y aplicación de símbolos JNI a una base de datos Binary Ninja

Se requiere algo de ingeniería para analizar el APK, extraer las definiciones de llamadas y aplicarlas en su descompilador preferido. Este esfuerzo merece la pena porque reduce la cantidad de trabajo manual y puede darte una visión general del uso de librerías nativas en el APK en general.

captura de pantalla del código nativo descompilado de Binary Ninja
Código nativo descompilado de Binary Ninja
Hombre mirando una computadora

Fortalezca su inteligencia de seguridad  

Adelántese cada semana a las amenazas con novedades e información sobre seguridad, IA y más con el boletín Think.  

Fuzzing DDGifSlurp

¿Cómo podemos alcanzar nuestra función objetivo?

Lo primero que hice (ya que la biblioteca es de código abierto) fue crear mi propia versión de android-gif-drawable a partir del paquete de lanzamiento v1.2.17 usando el NDK de Android. Luego, revisé qué exportaciones estaban disponibles en el binario:

➜ nm -D lib/libpl_droidsonroids_gif_fixed.so | awk '$3 ~ /^D/ || $3 ~ /^Java_pl_/'
 0000000000006214 T DDGifSlurp
 000000000000ad14 T DGifCloseFile
 000000000000ac58 T DGifExtensionToGCB
 000000000000a91c T DGifGetCodeNext
 000000000000aa68 T DGifGetExtension
 000000000000ab20 T DGifGetExtensionNext
 0000000000009cc0 T DGifGetImageDesc
 000000000000a254 T DGifGetLine
 0000000000009b98 T DGifGetRecordType
 000000000000989c T DGifGetScreenDesc
 0000000000009644 T DGifOpen
 000000000000bb90 T DetachCurrentThread
 000000000000d53c T Java_pl_droidsonroids_gif_GifInfoHandle_bindSurface
 0000000000009314 T
Java_pl_droidsonroids_gif_GifInfoHandle_createTempNativeFileDescriptor
 00000000000091ac T
Java_pl_droidsonroids_gif_GifInfoHandle_extractNativeFileDescriptor
 0000000000006d20 T Java_pl_droidsonroids_gif_GifInfoHandle_free
 000000000000c238 T Java_pl_droidsonroids_gif_GifInfoHandle_getAllocationByteCount
 000000000000bd74 T Java_pl_droidsonroids_gif_GifInfoHandle_getComment
 000000000000c578 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentFrameIndex
 000000000000c528 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentLoop
 000000000000c008 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentPosition
 000000000000bf00 T Java_pl_droidsonroids_gif_GifInfoHandle_getDuration
 000000000000caa4 T Java_pl_droidsonroids_gif_GifInfoHandle_getFrameDuration
 000000000000cbc0 T Java_pl_droidsonroids_gif_GifInfoHandle_getHeight
 000000000000be68 T Java_pl_droidsonroids_gif_GifInfoHandle_getLoopCount
 000000000000c15c T Java_pl_droidsonroids_gif_GifInfoHandle_getMetadataByteCount
 000000000000c4d4 T Java_pl_droidsonroids_gif_GifInfoHandle_getNativeErrorCode
 000000000000cc14 T Java_pl_droidsonroids_gif_GifInfoHandle_getNumberOfFrames
 000000000000c5cc T Java_pl_droidsonroids_gif_GifInfoHandle_getSavedState
 000000000000bfb4 T Java_pl_droidsonroids_gif_GifInfoHandle_getSourceLength
 000000000000cb6c T Java_pl_droidsonroids_gif_GifInfoHandle_getWidth
 000000000000cc68 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexImage2D
 000000000000cd50 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexSubImage2D
 000000000000ce38 T Java_pl_droidsonroids_gif_GifInfoHandle_initTexImageDescriptor
 000000000000bde4 T Java_pl_droidsonroids_gif_GifInfoHandle_isAnimationCompleted
 000000000000cb10 T Java_pl_droidsonroids_gif_GifInfoHandle_isOpaque
 00000000000084cc T Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
 00000000000087a4 T Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
 0000000000008278 T Java_pl_droidsonroids_gif_GifInfoHandle_openFile
 0000000000009340 T Java_pl_droidsonroids_gif_GifInfoHandle_openNativeFileDescriptor
 0000000000008ab8 T Java_pl_droidsonroids_gif_GifInfoHandle_openStream
 000000000000e354 T Java_pl_droidsonroids_gif_GifInfoHandle_postUnbindSurface
 00000000000057dc T Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame
 000000000000597c T Java_pl_droidsonroids_gif_GifInfoHandle_reset
 000000000000611c T Java_pl_droidsonroids_gif_GifInfoHandle_restoreRemainder
 000000000000c9d8 T Java_pl_droidsonroids_gif_GifInfoHandle_restoreSavedState
 000000000000603c T Java_pl_droidsonroids_gif_GifInfoHandle_saveRemainder
 0000000000005f6c T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrame
 000000000000d4d0 T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrameGL
 0000000000005ccc T Java_pl_droidsonroids_gif_GifInfoHandle_seekToTime
 000000000000beb8 T Java_pl_droidsonroids_gif_GifInfoHandle_setLoopCount
 000000000000b948 T Java_pl_droidsonroids_gif_GifInfoHandle_setOptions
 00000000000059e4 T Java_pl_droidsonroids_gif_GifInfoHandle_setSpeedFactor
 000000000000cfa0 T Java_pl_droidsonroids_gif_GifInfoHandle_startDecoderThread
 000000000000d374 T Java_pl_droidsonroids_gif_GifInfoHandle_stopDecoderThread

 

Esta información es útil porque sabemos que podemos llamar directamente a DDGifSlurp y también podemos ver el conjunto de funciones exportadas por JNI. Si volvemos a fijarnos en DDGifSlurp, vemos que el primer argumento es un puntero a un tipo complejo, GifInfo.

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame)

 

Commit df309bb - gif.h aquí

struct GifInfo {
    void (*destructor)(GifInfo *, JNIEnv *);
    GifFileType *gifFilePtr;
    GifWord originalWidth, originalHeight;
    uint_fast16_t sampleSize;
    long long lastFrameRemainder;
    long long nextStartTime;
    uint_fast32_t currentIndex;
    GraphicsControlBlock *controlBlock;
    argb *backupPtr;
    long long startPos;
    unsigned char *rasterBits;
    uint_fast32_t rasterSize;
    char *comment;
    uint_fast16_t loopCount;
    uint_fast16_t currentLoop;
    RewindFunc rewindFunction;
    jfloat speedFactor;
    uint32_t stride;
    jlong sourceLength;
    bool isOpaque;
    void *frameBufferDescriptor;
};

 

Podríamos crear manualmente un objeto GifInfo falso; sin embargo, el objeto es bastante grande y es en sí mismo un compuesto de otros tipos complejos (como GifFileType). En cambio, tiene más sentido investigar las otras funciones nativas para ver cómo se crean normalmente los objetos GifInfo. Podemos encontrar rápidamente algunos candidatos potenciales.

Commit df309bb - gif.c aquí

Java_pl_droidsonroids_gif_GifInfoHandle_openFile
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
Java_pl_droidsonroids_gif_GifInfoHandle_openStream

 

De estas, las variantes de bytes parecen tener la menor sobrecarga; en concreto, openByteArray solo requiere que creemos un objeto jbyteArray, lo cual podemos hacer fácilmente en C.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, jclass __unused
class, jbyteArray bytes) {
    if (isSourceNull(bytes, env)) {
        return NULL_GIF_INFO;
    }
    ByteArrayContainer *container = malloc(sizeof(ByteArrayContainer));
    if (container == NULL) {
        throwException(env, OUT_OF_MEMORY_ERROR, OOME_MESSAGE);
        return NULL_GIF_INFO;
    }
    container->buffer = (*env)->NewGlobalRef(env, bytes);
    if (container->buffer == NULL) {
        free(container);
        throwException(env, RUNTIME_EXCEPTION_BARE, "NewGlobalRef failed");
        return NULL_GIF_INFO;
    }
    container->length = (unsigned int) (*env)->GetArrayLength(env, container->buffer);
    container->position = 0;
    GifSourceDescriptor descriptor = {
            .rewindFunc = byteArrayRewind,
            .sourceLength = container->length
    };
    descriptor.GifFileIn = DGifOpen(container, &byteArrayRead, &descriptor.Error);
    descriptor.startPos = container->position;

    GifInfo *info = createGifInfo(&descriptor, env);

    if (info == NULL) {
        (*env)->DeleteGlobalRef(env, container->buffer);
        free(container);
    }
    return (jlong) (intptr_t) info;
}

 

Tenga en cuenta que el objeto GifInfo en sí mismo es creado por createGifInfo.

Commit df309bb - init.c aquí

GifInfo *createGifInfo(GifSourceDescriptor *descriptor, JNIEnv *env) {
    if (descriptor->startPos < 0) {
        descriptor->Error = D_GIF_ERR_NOT_READABLE;
    }
    if (descriptor->Error != 0 || descriptor->GifFileIn == NULL) {
        bool readErrno = descriptor->rewindFunc == fileRewind && (descriptor->Error ==
D_GIF_ERR_NOT_READABLE || descriptor->Error == D_GIF_ERR_READ_FAILED);
        throwGifIOException(descriptor->Error, env, readErrno);
        DGifCloseFile(descriptor->GifFileIn);
        return NULL;
    }

    GifInfo *info = malloc(sizeof(GifInfo));

...

    DDGifSlurp(info, false, false);
    info->rasterBits = NULL;
    info->rasterSize = 0;
    info->originalHeight = info->gifFilePtr->SHeight;
    info->originalWidth = info->gifFilePtr->SWidth;

...

En el fragmento de código anterior, se puede ver que la función de inicialización también llama a DDGifSlurp, pero no puede activar el código vulnerable porque decode=false. Al establecer este indicador en falso , se activa el caso isInitialPass dentro de DDGifSlurp, que solo registra metadatos por fotograma sin analizar los fotogramas.

En este punto, tenemos una comprensión bastante buena de cómo llamar a la ruta del código vulnerable, y podemos armar una serie de llamadas para llegar a la función que queremos fuzzear.

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ DDGifSlurp

 

Sin embargo, aquí nos faltan dos elementos. Primero, si creamos miles de estas cadenas de llamadas, nos quedaremos sin memoria y bloquearemos nuestro arnés, por lo que debemos asegurarnos de liberar cualquier recurso que creamos. Para lograr esto, podemos usar otra de las funciones exportadas por JNI.

Haz commit en df309bb - dispose.c aquí

Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass __unused handleClass, jlong gifInfo)

 

El segundo elemento que falta es mucho menos obvio. Cuando DDGifSlurp inicializa el GIF, recorre la lista de fotogramas y modifica el objeto GifInfo a medida que avanza. Antes de que podamos procesar el GIF nuevamente, debemos rebobinarlo a su estado inicial. Al hacerlo, se restablece nuestra posición en ByteArrayContainer a la posición inicial y se restablecen algunas propiedades del objeto GifInfo, como se puede ver a continuación.

Commit df309bb - controle.c aquí

bool reset(GifInfo *info) {
    if (info->rewindFunction(info) != 0) {
        return false;
    }
    info->nextStartTime = 0;
    info->currentLoop = 0;
    info->currentIndex = 0;
    info->lastFrameRemainder = -1;
    return true;
}

__unused JNIEXPORT jboolean JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *__unused  env, jclass  __unused
class, jlong gifInfo) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info != NULL && reset(info)) {
        return JNI_TRUE;
    }
    return JNI_FALSE;
}

 

Nuestra cadena de llamadas final se ve así:

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ Java_pl_droidsonroids_gif_GifInfoHandle_reset
     |_ DDGifSlurp
       |_ Java_pl_droidsonroids_gif_GifInfoHandle_free

Poner a prueba nuestras suposiciones

Podemos crear un binario de prueba que tomará un GIF del disco y lo pasará por nuestra cadena de llamadas. Tenga en cuenta que incluimos un archivo de encabezado jenv (obtenido de esta publicación de Quarkslab) y también incluimos el encabezado gif directamente desde la propia biblioteca android-gif-drawable .

Normalmente, para el fuzzing, estaríamos en uno de estos tres escenarios:

  • Estamos fuzzeando código de biblioteca nativo puro; no tenemos dependencias.
  • Dependemos de JNINativeInterface (JNIEnv), pero podemos crear manualmente todos los argumentos de función que necesitamos para llamar a nuestro código nativo (por ejemplo, jbyteArray).
  • Dependemos de algún objeto Java complejo que no podemos crear en C. En este caso, debemos cargar el APK o una clase Java compilada a medida para construir nuestros argumentos.

En nuestro caso, openByteArray tiene un prototipo bastante sencillo, por lo que estamos en esta segunda categoría, donde podemos crear los argumentos de la función desde C sin dependencias adicionales.

#include <errno.h>
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <stdbool.h>
#include <string.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

/* JNI symbols we call directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, class
clazz, jbyteArray bytes);
extern void  Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass clazz,
jlong gifInfo);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *env, class
clazz, jlong gifInfo);
extern jint JNI_OnLoad(JavaVM *vm, void *reserved);

static JavaCTX ctx;

/**
 * read_file - read an entire file into a memory buffer
 * @path: path to the input file
 * @out_len: pointer to size_t where the number of bytes read will be stored
 * Returns a pointer to the data, or NULL on error.
 * Caller is responsible for freeing the returned buffer.
 */
static uint8_t *read_file(const char *path, size_t *out_len) {
    FILE *f = fopen(path, "rb");
    if (!f) return NULL;
    fseek(f, 0, SEEK_END);
    long sz = ftell(f);
    rewind(f);
    if (sz <= 0) { fclose(f); return NULL; }
    uint8_t *buf = malloc((size_t)sz);
    if (!buf) { fclose(f); return NULL; }
    if (fread(buf, 1, (size_t)sz, f) != (size_t)sz) { free(buf); fclose(f); return
NULL; }
    fclose(f);
    *out_len = (size_t)sz;
    return buf;
}

/**
 * main - read a GIF file, run DDGifSlurp to trigger CVE-2019-11932, and print results
 * @argc: number of command-line arguments
 * @argv: argument vector, expects GIF file path as argv[1]
 * Returns exit code, 0 on success, non-zero on error
 */
int main(int argc, char *argv[]) {
    if (argc != 2) {
        fprintf(stderr, "Usage: %s <gif_path>\n", argv[0]);
        return 1;
    }
    const char *input_path = argv[1];
    /* 1. Read GIF from disk */
    size_t len = 0;
    uint8_t *data = read_file(input_path, &len);
    if (!data) {
        fprintf(stderr, "[-] Failed to read %s\n", input_path);
        return 1;
    }


    /* 2. Initialize Java VM without custom options */
    if (init_java_env(&ctx, NULL, 0) != 0) {
        fprintf(stderr, "[-] init_java_env failed\n");
        free(data);
        return 1;
    }

    /* get JNIEnv */
    JNIEnv *e = ctx.env;

    /* 3. Ensure GIF library's JNI_OnLoad runs to set up g_jvm */
    JNI_OnLoad(ctx.vm, NULL);

    /* 4. Single open-decode-free cycle */

    /* Create Java byte[] */
    jbyteArray arr = (*e)->NewByteArray(e, (jsize)len);
    if (!arr) {
        fprintf(stderr, "[-] NewByteArray failed\n");
        free(data);
        return 1;
    }
    (*e)->SetByteArrayRegion(e, arr, 0, (jsize)len, (const jbyte *)data);

    /* open */
    jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(e, NULL, arr);
    (*e)->DeleteLocalRef(e, arr);
    if ((*e)->ExceptionCheck(e) || gptr == 0) {
        fprintf(stderr, "[-] openByteArray failed\n");
        (*e)->ExceptionClear(e);
        free(data);
        return 1;
    }

    /* rewind */
    Java_pl_droidsonroids_gif_GifInfoHandle_reset(e, NULL, gptr);

    /* decode (vulnerable) */
    DDGifSlurp((GifInfo *)(intptr_t)gptr, true, false);

    /* print some info */
    GifInfo *info = (GifInfo *)(intptr_t)gptr;
    printf("[+] GifInfo at %p: %lu x %lu, %lu frames, loop %lu, error %d\n",
           (void*)info,
           (unsigned long)info->originalWidth,
           (unsigned long)info->originalHeight,
           (unsigned long)info->gifFilePtr->ImageCount,
           (unsigned long)info->loopCount,
           (int)info->gifFilePtr->Error);

    /* free */
    Java_pl_droidsonroids_gif_GifInfoHandle_free(e, NULL, gptr);
    (*e)->ExceptionClear(e);
    free(data);
    return 0;
}

El código anterior leerá una imagen del disco, inicializará la máquina virtual Java (JVM), creará un jbyteArray y pasará la imagen a través de nuestra cadena de llamadas. Al final, imprimimos algunas propiedades del objeto GifInfo para poder obtener algunos metadatos y confirmar que el código se ejecutó hasta su finalización sin errores. Más adelante, podemos usar este binario de prueba para depurar cualquier fallo que encontremos.

captura de pantalla de la ejecución de la prueba DDGifSlurp
Ejecución de pruebas de DDGifSlurp

Construcción de un arnés

Una vez superada la parte difícil, podemos crear un arnés de fuzzing envolviendo el código de prueba en alguna plantilla de AFL++. En main, inicializamos la VM Java y luego creamos una función que toma una matriz de bytes como entrada. Esta función, fuzz_one_input, realizará todas las acciones necesarias para recorrer nuestra cadena de llamadas una vez con la entrada proporcionada. Usaremos Frida para conectar esta función para que AFL pueda pasarle entradas y recopilar cobertura.

#include <errno.h>
#include <stdio.h>
#include <stdint.h>
#include <jni.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

#define BUFFER_SIZE 65536

/* JNI symbols we invoke directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *, class,
jbyteArray);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *, class,
jlong);
extern void Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *, jclass, jlong);
extern jint JNI_OnLoad(JavaVM *, void *);

static JavaCTX ctx;

/*
 * fuzz_one_input – entry used by Frida-AFL persistent mode.
 * Creates a GifInfo from the fuzz data, rewinds the stream, runs a full
 * decode with DDGifSlurp, then frees the structure.
 */
__attribute__((visibility("default")))
void fuzz_one_input(const uint8_t *data, size_t len) {
  JNIEnv *env = ctx.env;
  if (len < 6) return; /* need at least GIF header */

  /* Create Java byte[] */
  jbyteArray arr = (*env)->NewByteArray(env, (jsize)len);
  if (!arr) return;
  (*env)->SetByteArrayRegion(env, arr, 0, (jsize)len, (const jbyte *)data);

  /* GifInfoHandle.openByteArray */
  jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(env, NULL, arr);
  (*env)->DeleteLocalRef(env, arr);
  if ((*env)->ExceptionCheck(env) || gptr == 0) {
    (*env)->ExceptionClear(env);
    return;
  }

  /* Rewind so decode starts at offset 0 */
  Java_pl_droidsonroids_gif_GifInfoHandle_reset(env, NULL, gptr);

  /* Full decode – this is where CVE-2019-11932 triggers */
  GifInfo *info = (GifInfo *)(intptr_t)gptr;
  DDGifSlurp(info, true, false);

  /* Cleanup */
  Java_pl_droidsonroids_gif_GifInfoHandle_free(env, NULL, gptr);
  (*env)->ExceptionClear(env);
}

/**
 * main - AFL-Frida fuzzing harness entry point
 *
 * Reads up to BUFFER_SIZE bytes from stdin, initializes the Java VM,
 * invokes fuzz_one_input for persistent-mode decoding, and exits.
 *
 * Return: 0 on success (no crash or crash handled by AFL),
 *         non-zero on initialization or read error.
 */
int main(void) {
  uint8_t buffer[BUFFER_SIZE];
  ssize_t rlen = fread(buffer, 1, sizeof buffer, stdin);
  if (rlen == -1) return errno;

  /* Start JVM with default options */
  if (init_java_env(&ctx, NULL, 0) != 0) return 1;

  /* Ensure gif library initialises its global JVM pointer */
  JNI_OnLoad(ctx.vm, NULL);

  fuzz_one_input(buffer, (size_t)rlen);
  return 0;
}

 

El pequeño script de Frida a continuación permite que AFL++ pase entradas al arnés. Inyecta un pequeño gancho C que copia cada caso de prueba de AFL directamente en el búfer de entrada de la función, le dice a AFL++ exactamente dónde reiniciar en cada iteración y aprovecha la instrumentación de Frida para recopilar cobertura.

Afl.print(`[*] Starting FRIDA config for PID: ${Process.id}`);

// Modules to be instrumented by Frida
const MODULE_WHITELIST = [
  "fuzz_DDGifSlurp",
  "libpl_droidsonroids_gif_fixed.so",
];

// Persistent hook
const hook_module = new CModule(`
  #include <string.h>
  #include <gum/gumdefs.h>

  #define BUF_LEN 65536

  void afl_persistent_hook(GumCpuContext *regs, uint8_t *input_buf,
    uint32_t input_buf_len) {

    uint32_t length = (input_buf_len > BUF_LEN) ? BUF_LEN : input_buf_len;
    memcpy((void *)regs->x[0], input_buf, length);
    regs->x[1] = length;
  }
  `,
  {
    memcpy: Module.getExportByName(null, "memcpy")
  }
);

// Persistent loop start address
const pPersistentAddr = DebugSymbol.fromName("fuzz_one_input").address;

// Exclude from instrumentation
Module.load("libandroid_runtime.so");
new ModuleMap().values().forEach(m => {
  if (!MODULE_WHITELIST.includes(m.name)) {
    Afl.print(`Exclude: ${m.base}-${m.base.add(m.size)} ${m.name}`);
    Afl.addExcludedRange(m.base, m.size);
  }
});

Afl.setEntryPoint(pPersistentAddr);
Afl.setPersistentHook(hook_module.afl_persistent_hook);
Afl.setPersistentAddress(pPersistentAddr);
Afl.setPersistentCount(3000); // Limit how many iterations before reinitializing
                              // the environment
Afl.setInMemoryFuzzing();
Afl.setInstrumentLibraries();
Afl.done();
Afl.print("[*] All done!");

Por último, podemos iniciar el fuzzing por teléfono.

panther: # su
panther: # cd /sys/devices/system/cpu
panther:/sys/devices/system/cpu # echo performance | tee cpu*/cpufreq/scaling_governor
performance
panther:/sys/devices/system/cpu # cd /data/local/tmp/whatsapp
panther:/data/local/tmp/whatsapp # ./afl-fuzz -O -G 4096 -i in -o out
./fuzz_DDGifSlurp

 

Dejé que el fuzzer funcionara durante unas 7 horas antes de finalizar la ejecución. Como podemos ver en los resultados de AFL que se muestran a continuación, ejecutamos más de 200 millones de casos de prueba y registramos 29,1 mil fallos, de los cuales se salvaron 42. AFL aplica algunas heurísticas basadas en el tipo de señal, la dirección de fallas y los bordes en el mapa de cobertura para determinar si un bloqueo es lo suficientemente interesante como para mantenerlo. Esto no significa que cada uno de estos accidentes sea único.

captura de pantalla de AFL++ fuzzing en el dispositivo
AFL++ fuzzing en el dispositivo

Triaje de choques

Si queremos clasificar los fallos, podemos ampliar la biblioteca vulnerable añadiendo algunas instrucciones de impresión adicionales que nos proporcionarán más insight sobre lo que ocurre dentro de la condición de decodificación DDGifSlurp.

if (decode) {
    // Print raw values used in calculations
    printf("[DEBUG] Image.Width=%u, Image.Height=%u, originalWidth=%u,
originalHeight=%u, currentRasterSize=%u\n",
           (unsigned)gifFilePtr->Image.Width,
           (unsigned)gifFilePtr->Image.Height,
           (unsigned)info->originalWidth,
           (unsigned)info->originalHeight,
           (unsigned)info->rasterSize);

    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr->Image.Height;

    // Pretty-print computed overflow and new raster size
    printf("[DEBUG] widthOverflow=%d, heightOverflow=%d, newRasterSize=%u\n",
           (int)widthOverflow,
           (int)heightOverflow,
           (unsigned)newRasterSize);

    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

Para nuestra comodidad, también podemos recompilar test_DDGifSlurp con ASan, lo que nos proporcionará información más detallada sobre lo que salió mal en tiempo de ejecución sin tener que recurrir necesariamente a LLBD de inmediato.

➜  cmake \                                                          
    -DANDROID_PLATFORM=31 \
     -DCMAKE_TOOLCHAIN_FILE=/opt/homebrew/share/android-ndk/build/cmake/android.toolchain.cmake \
     -DANDROID_ABI=arm64-v8a \
     -DANDROID_ENABLE_ASAN=ON \
     -DCMAKE_BUILD_TYPE=Debug \
     -DCMAKE_C_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_CXX_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_SHARED_LINKER_FLAGS="-fsanitize=address" \
     -DCMAKE_EXE_LINKER_FLAGS="-fsanitize=address" \
     .
 ➜  make

 

Hay algunas variaciones de esta vulnerabilidad que pueden activarse según el tamaño y la composición de los marcos GIF.

captura de pantalla de android-gif-drawable DDGifSlurp double-free
android-gif-drawable DDGifSlurp double-free

En este ejemplo, podemos ver una variación que es casi idéntica a la que tiene Awakened en su entrada en el blog.

  • Estado inicial: originalWidth tiene un valor de 16697 y originalHeight tiene un valor de 65530.
  • Fotograma 0: Image.Width tiene un valor de 32768, que es mayor que originalWidth. Debido a esto,activamos reallocarray. Sin embargo, dado que Image.Height tiene un valor de 0, el rasterSize final pasa a ser 32768*0 = 0. Debido al comportamiento interno de reallocarray, en su lugar liberamos el puntero, dejamos la referencia colgante y rompemos.
  • Cuadro 1: Image.Width tiene un valor de 65535, nuevamente mayor que originalWidth, e Image.Height vuelve a ser 0, lo que da como resultado el mismo comportamiento, y liberamos el mismo puntero nuevamente, lo que activa ASan.

Conclusión

Obviamente, es difícil hacer funcionar correctamente los analizadores y es fácil cometer errores o tener suposiciones erróneas sobre qué datos procesará el analizador. Esta vulnerabilidad fue muy fácil de redescubrir utilizando nuestro arnés. De hecho, el primer bloqueo se informó solo unos minutos después del inicio de la carrera.

En los casos en que este tipo de bibliotecas se incluyen en aplicaciones altamente críticas para la seguridad, como aplicaciones de mensajería, deben someterse a extensas pruebas manuales y automatizadas. Si los ingenieros de aplicaciones no validan el código de la biblioteca, está claro que los investigadores lo harán (y pueden o no reportar sus hallazgos, sin juicios).

Anexo

Este error se informó y solucionó en 2019, pero tenía curiosidad e investigué un poco el historial de problemas del repositorio. Para mi sorpresa, encontré un problema de 2016 que se cerró debido a la inactividad, que casi con certeza se relaciona con esta misma vulnerabilidad.

Captura de pantalla de un fallo de renderFrame en GitHub.
Bloqueo de GitHub renderFrame

El usuario informa de un fallo de Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame, que es la forma típica en que la biblioteca emplea la vulnerable llamada DDGifSlurp . En nuestro arnés, no llamamos a esta función porque:

  • Tendríamos que crear un objeto Java Bitmap, ya sea para cada iteración o reutilizando uno solo con algunos trucos.
  • Para cada iteración de fuzz, necesitaríamos bloquear y desbloquear píxeles.

Estas acciones requieren un uso intensivo de cómputo si las realizamos miles de veces por segundo, y no las necesitamos para ejercer la función vulnerable.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame(JNIEnv *env, jclass __unused
handleClass, jlong gifInfo, jobject jbitmap) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info == NULL)
        return -1;

    long renderStartTime = getRealTime();
    void *pixels;
    if (lockPixels(env, jbitmap, info, &pixels) != 0) {
        return 0;
    }
    DDGifSlurp(info, true, false);
    if (info->currentIndex == 0) {
        prepareCanvas(pixels, info);
    }
    const uint_fast32_t frameDuration = getBitmap(pixels, info);
    unlockPixels(env, jbitmap);
    return calculateInvalidationDelay(info, renderStartTime, frameDuration);
}

 

Espero que muchos investigadores de la comunidad de investigación de vulnerabilidades (VR) estén monitoreando problemas abiertos y cerrados de GitHub de bibliotecas de código abierto cargadas por aplicaciones confidenciales. Dado el alto perfil de WhatsApp como objetivo, es dudoso que sea el primero en analizar este problema específico, y otros, en la biblioteca android-gif-drawable. No me sorprendería en absoluto que este bug se conociera antes de 2019.

Referencias

1. Cómo un error doble libre en WhatsApp se convierte en RCE - aquí

  • La entrada original del blog de Awakened donde describen la vulnerabilidad y el método de explotación. El investigador tiene otros artículos interesantes en su blog, pero extrañamente, no hay nuevas entradas después de la publicación sobre la vulnerabilidad de WhatsApp. ¡Estoy seguro de que uno de los laboratorios de investigación adquirió una excelente incorporación a su equipo!

2. La vulnerabilidad de procesamiento de GIF parcheada aún afecta a las aplicaciones móviles - aquí

  • Un muy buen desglose de Trend Micro, donde también analizan el impacto en otras aplicaciones de Android que ejecutan versiones desactualizadas de la biblioteca.

3. Android greybox fuzzing with AFL++ Frida mode - aquí

  • Antecedentes fundamentales sobre fuzzing de funciones JNI en varias configuraciones: nativa, débilmente vinculada y fuertemente vinculada. Escrito por Eric Le Guevel @quarkslab.

4. Fuzzing Redux, aprovechando AFL++ Frida-Mode en bibliotecas nativas de Android - aquí

  • Esta es una publicación que escribí en 2024, que proporciona más antecedentes sobre AFL++ Frida-Mode con información de compilación y ejemplos de uso.

5. Android-GIF-dibujable - aquí

  • La última versión de la biblioteca vulnerable v1.2.17 aquí
Mixture of Experts | 12 de diciembre, episodio 85

Decodificación de la IA: Resumen semanal de noticias

Únase a nuestro panel de ingenieros, investigadores, responsables de producto y otros profesionales de talla mundial que se abren paso entre el revuelo de la IA para ofrecerle las últimas noticias e insights al respecto.
Vea todos los episodios de Mixture of Experts
Soluciones relacionadas
Servicios de gestión de amenazas

Predecir, prevenir y responder a las amenazas modernas, aumentando la resiliencia del negocio.

 

 Explore los servicios de gestión de amenazas
Soluciones de detección y respuesta a amenazas

Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.

 Explorar las soluciones de detección de amenazas
Soluciones de defensa contra amenazas móviles (MTD)

Proteja su entorno móvil con las soluciones integrales de defensa contra amenazas móviles de IBM MaaS360.

 Explore las soluciones de defensa frente a amenazas móviles
Dé el siguiente paso

Obtenga soluciones integrales de administración de amenazas, protegiendo de manera experta su negocio contra ataques cibernéticos.

 Explore los servicios de gestión de amenazas Reserve una sesión informativa centrada en las amenazas