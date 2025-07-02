Esta publicación es en parte un análisis de una vulnerabilidad sin dobles (CVE-2019-11932) en una biblioteca de procesamiento de imágenes utilizada por WhatsApp y en parte una referencia para el desarrollo de arneses en el dispositivo al realizar fuzzing de bibliotecas nativas en Android. Me enteré de esta vulnerabilidad leyendo una entrada en el blog de Awakened, la investigadora que reveló el problema. El autor no explicó cómo se encontró este problema, y quería entender lo difícil que sería redescubrirlo. Como veremos, la vulnerabilidad en sí es bastante superficial y es fácil de reproducir mediante la fusión de la biblioteca vulnerable con AFL++.
Este CVE es especialmente interesante porque el código vulnerable de la biblioteca (android-gif-drawable < v1.2.18) podía activar remotamente enviando a alguien un archivo GIF mal deformado. Esta primitiva no era perfecta, ya que dependía de que el objetivo realizara algunas acciones manuales, como abrir la galería de imágenes de WhatsApp. Además, esta vulnerabilidad solo sería parte de una cadena de componentes más grande que incluiría vulnerabilidades adicionales, por ejemplo, para realizar fugas de información y escalar privilegios. Aun así, este tipo de vulnerabilidades son raras y costosas debido al valor potencial de inteligencia humana que proporcionan. Este caso también ilustra por qué es tan importante que las aplicaciones auditen las bibliotecas que incluyen en su base de código. Las grandes empresas quizás deberían hacer más para contribuir y mejorar la seguridad del software de código abierto (OSS) que emplean en sus productos. Un ejemplo más reciente y análogo dio lugar a la divulgación de cinco vulnerabilidades en libxml2.
Con base en el informe de vulnerabilidades de Awakened , enfoqué mis esfuerzos en la rutina de decodificación de GIF. Un archivo GIF está estructurado como un encabezado y un descriptor de pantalla lógico seguido de un flujo de registros para cada fotograma. Estos registros constan de un descriptor de imagen (ancho, alto, posición y paleta), bloques de extensión opcionales (transparencia, retrasos, etc.) y datos de píxeles comprimidos. En decoding.c hay una función, DDGifSlurp, que recorre los flujos de registro GIF y crea metadatos por fotograma. Si decode=true, extrae píxeles sin procesar por fotograma. Normalmente, los marcos son del mismo tamaño. Esto tiene sentido porque cuando miras un GIF, ves una serie de fotogramas que se reproducen en un bucle. Cuando los marcos tienen el mismo tamaño, la función seguirá reutilizando la asignación que ha creado para almacenar el búfer (rasterBits). Sin embargo, la función maneja los casos en los que los marcos tienen un tamaño diferente llamando a reallocarray para asignar un nuevo búfer. La función realloc es una combinación de free y malloc. Si no se proporciona ningún tamaño, simplemente libera el puntero.
Commit df309bb - decoding.c aquí
Si imaginamos que el primer fotograma tiene unas dimensiones normales (40*10), se asigna un búfer de 400 bytes. El segundo fotograma tiene unas dimensiones incorrectas ( 0*20). En este caso, se cumple lo siguiente:
Cuando se llama a reallocarray, el tamaño de la asignación se calcula como 0*20=0; esto hace que rasterBits se libere. Si el tercer marco tiene dimensiones igualmente malformadas, liberael mismo puntero de nuevo, lo que da lugar a una doble liberación.
Los símbolos son importantes; facilitan la interpretación de lo que está haciendo un fragmento de código. Si analiza bibliotecas que se extrajeron de un Android Package Kit (APK), lo más probable es que se les quiten los símbolos. En nuestro caso particular, para android-gif-drawable, esto no es un problema porque tenemos acceso a la fuente. Sin embargo, si necesita aplicar ingeniería inversa a un binario de código cerrado, al menos debe aplicar los tipos de interfaz nativa de Java (JNI) para que el proceso de investigación sea más sencillo. Hay una publicación de @Ch0pin que puedes leer aquí para obtener más información. En mi caso, estoy usando Binary Ninja y he encontrado un archivo de encabezado de tipo funcional que se puede importar aquí.
Para comprender cómo aplicar los tipos, puede buscar declaraciones nativas en el APK descompilado. En la siguiente captura de pantalla, podemos ver algunas de las declaraciones android-gif-drawable del APK en JEB.
Tomemos getFrameDuration como ejemplo:
Aquí, J se traduce como jlong e I se traduce como jint. Tenga en cuenta que la función también tiene un tipo de retorno de jint. Si combinamos estos valores con la convención de llamada estándar para la invocación nativa de JNI, terminamos con:
Puedes aplicar Automatización a este proceso (usando androguard, la API de JEB, etc). Con las asignaciones de tipos adecuadas, puedes recorrer programáticamente cada clase y aplicar todos los tipos identificados a la biblioteca que estás analizando.
Se requiere algo de ingeniería para analizar el APK, extraer las definiciones de llamadas y aplicarlas en su descompilador preferido. Este esfuerzo merece la pena porque reduce la cantidad de trabajo manual y puede darte una visión general del uso de librerías nativas en el APK en general.
Lo primero que hice (ya que la biblioteca es de código abierto) fue crear mi propia versión de android-gif-drawable a partir del paquete de lanzamiento v1.2.17 usando el NDK de Android. Luego, revisé qué exportaciones estaban disponibles en el binario:
Esta información es útil porque sabemos que podemos llamar directamente a DDGifSlurp y también podemos ver el conjunto de funciones exportadas por JNI. Si volvemos a fijarnos en DDGifSlurp, vemos que el primer argumento es un puntero a un tipo complejo, GifInfo.
Commit df309bb - gif.h aquí
Podríamos crear manualmente un objeto GifInfo falso; sin embargo, el objeto es bastante grande y es en sí mismo un compuesto de otros tipos complejos (como GifFileType). En cambio, tiene más sentido investigar las otras funciones nativas para ver cómo se crean normalmente los objetos GifInfo. Podemos encontrar rápidamente algunos candidatos potenciales.
Commit df309bb - gif.c aquí
De estas, las variantes de bytes parecen tener la menor sobrecarga; en concreto, openByteArray solo requiere que creemos un objeto jbyteArray, lo cual podemos hacer fácilmente en C.
Tenga en cuenta que el objeto GifInfo en sí mismo es creado por createGifInfo.
Commit df309bb - init.c aquí
En el fragmento de código anterior, se puede ver que la función de inicialización también llama a DDGifSlurp, pero no puede activar el código vulnerable porque decode=false. Al establecer este indicador en falso , se activa el caso isInitialPass dentro de DDGifSlurp, que solo registra metadatos por fotograma sin analizar los fotogramas.
En este punto, tenemos una comprensión bastante buena de cómo llamar a la ruta del código vulnerable, y podemos armar una serie de llamadas para llegar a la función que queremos fuzzear.
Sin embargo, aquí nos faltan dos elementos. Primero, si creamos miles de estas cadenas de llamadas, nos quedaremos sin memoria y bloquearemos nuestro arnés, por lo que debemos asegurarnos de liberar cualquier recurso que creamos. Para lograr esto, podemos usar otra de las funciones exportadas por JNI.
Haz commit en df309bb - dispose.c aquí
El segundo elemento que falta es mucho menos obvio. Cuando DDGifSlurp inicializa el GIF, recorre la lista de fotogramas y modifica el objeto GifInfo a medida que avanza. Antes de que podamos procesar el GIF nuevamente, debemos rebobinarlo a su estado inicial. Al hacerlo, se restablece nuestra posición en ByteArrayContainer a la posición inicial y se restablecen algunas propiedades del objeto GifInfo, como se puede ver a continuación.
Commit df309bb - controle.c aquí
Nuestra cadena de llamadas final se ve así:
Podemos crear un binario de prueba que tomará un GIF del disco y lo pasará por nuestra cadena de llamadas. Tenga en cuenta que incluimos un archivo de encabezado jenv (obtenido de esta publicación de Quarkslab) y también incluimos el encabezado gif directamente desde la propia biblioteca android-gif-drawable .
Normalmente, para el fuzzing, estaríamos en uno de estos tres escenarios:
En nuestro caso, openByteArray tiene un prototipo bastante sencillo, por lo que estamos en esta segunda categoría, donde podemos crear los argumentos de la función desde C sin dependencias adicionales.
El código anterior leerá una imagen del disco, inicializará la máquina virtual Java (JVM), creará un jbyteArray y pasará la imagen a través de nuestra cadena de llamadas. Al final, imprimimos algunas propiedades del objeto GifInfo para poder obtener algunos metadatos y confirmar que el código se ejecutó hasta su finalización sin errores. Más adelante, podemos usar este binario de prueba para depurar cualquier fallo que encontremos.
Una vez superada la parte difícil, podemos crear un arnés de fuzzing envolviendo el código de prueba en alguna plantilla de AFL++. En main, inicializamos la VM Java y luego creamos una función que toma una matriz de bytes como entrada. Esta función, fuzz_one_input, realizará todas las acciones necesarias para recorrer nuestra cadena de llamadas una vez con la entrada proporcionada. Usaremos Frida para conectar esta función para que AFL pueda pasarle entradas y recopilar cobertura.
El pequeño script de Frida a continuación permite que AFL++ pase entradas al arnés. Inyecta un pequeño gancho C que copia cada caso de prueba de AFL directamente en el búfer de entrada de la función, le dice a AFL++ exactamente dónde reiniciar en cada iteración y aprovecha la instrumentación de Frida para recopilar cobertura.
Por último, podemos iniciar el fuzzing por teléfono.
Dejé que el fuzzer funcionara durante unas 7 horas antes de finalizar la ejecución. Como podemos ver en los resultados de AFL que se muestran a continuación, ejecutamos más de 200 millones de casos de prueba y registramos 29,1 mil fallos, de los cuales se salvaron 42. AFL aplica algunas heurísticas basadas en el tipo de señal, la dirección de fallas y los bordes en el mapa de cobertura para determinar si un bloqueo es lo suficientemente interesante como para mantenerlo. Esto no significa que cada uno de estos accidentes sea único.
Si queremos clasificar los fallos, podemos ampliar la biblioteca vulnerable añadiendo algunas instrucciones de impresión adicionales que nos proporcionarán más insight sobre lo que ocurre dentro de la condición de decodificación DDGifSlurp.
Para nuestra comodidad, también podemos recompilar test_DDGifSlurp con ASan, lo que nos proporcionará información más detallada sobre lo que salió mal en tiempo de ejecución sin tener que recurrir necesariamente a LLBD de inmediato.
Hay algunas variaciones de esta vulnerabilidad que pueden activarse según el tamaño y la composición de los marcos GIF.
En este ejemplo, podemos ver una variación que es casi idéntica a la que tiene Awakened en su entrada en el blog.
Obviamente, es difícil hacer funcionar correctamente los analizadores y es fácil cometer errores o tener suposiciones erróneas sobre qué datos procesará el analizador. Esta vulnerabilidad fue muy fácil de redescubrir utilizando nuestro arnés. De hecho, el primer bloqueo se informó solo unos minutos después del inicio de la carrera.
En los casos en que este tipo de bibliotecas se incluyen en aplicaciones altamente críticas para la seguridad, como aplicaciones de mensajería, deben someterse a extensas pruebas manuales y automatizadas. Si los ingenieros de aplicaciones no validan el código de la biblioteca, está claro que los investigadores lo harán (y pueden o no reportar sus hallazgos, sin juicios).
Este error se informó y solucionó en 2019, pero tenía curiosidad e investigué un poco el historial de problemas del repositorio. Para mi sorpresa, encontré un problema de 2016 que se cerró debido a la inactividad, que casi con certeza se relaciona con esta misma vulnerabilidad.
El usuario informa de un fallo de Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame, que es la forma típica en que la biblioteca emplea la vulnerable llamada DDGifSlurp . En nuestro arnés, no llamamos a esta función porque:
Estas acciones requieren un uso intensivo de cómputo si las realizamos miles de veces por segundo, y no las necesitamos para ejercer la función vulnerable.
Espero que muchos investigadores de la comunidad de investigación de vulnerabilidades (VR) estén monitoreando problemas abiertos y cerrados de GitHub de bibliotecas de código abierto cargadas por aplicaciones confidenciales. Dado el alto perfil de WhatsApp como objetivo, es dudoso que sea el primero en analizar este problema específico, y otros, en la biblioteca android-gif-drawable. No me sorprendería en absoluto que este bug se conociera antes de 2019.
1. Cómo un error doble libre en WhatsApp se convierte en RCE - aquí
2. La vulnerabilidad de procesamiento de GIF parcheada aún afecta a las aplicaciones móviles - aquí
3. Android greybox fuzzing with AFL++ Frida mode - aquí
4. Fuzzing Redux, aprovechando AFL++ Frida-Mode en bibliotecas nativas de Android - aquí
5. Android-GIF-dibujable - aquí
