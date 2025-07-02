Esta publicación es en parte un análisis de una vulnerabilidad sin dobles (CVE-2019-11932) en una biblioteca de procesamiento de imágenes utilizada por WhatsApp y en parte una referencia para el desarrollo de arneses en el dispositivo al realizar fuzzing de bibliotecas nativas en Android. Me enteré de esta vulnerabilidad leyendo una entrada en el blog de Awakened, la investigadora que reveló el problema. El autor no explicó cómo se encontró este problema, y quería entender lo difícil que sería redescubrirlo. Como veremos, la vulnerabilidad en sí es bastante superficial y es fácil de reproducir mediante la fusión de la biblioteca vulnerable con AFL++.

Este CVE es especialmente interesante porque el código vulnerable de la biblioteca (android-gif-drawable < v1.2.18) podía activar remotamente enviando a alguien un archivo GIF mal deformado. Esta primitiva no era perfecta, ya que dependía de que el objetivo realizara algunas acciones manuales, como abrir la galería de imágenes de WhatsApp. Además, esta vulnerabilidad solo sería parte de una cadena de componentes más grande que incluiría vulnerabilidades adicionales, por ejemplo, para realizar fugas de información y escalar privilegios. Aun así, este tipo de vulnerabilidades son raras y costosas debido al valor potencial de inteligencia humana que proporcionan. Este caso también ilustra por qué es tan importante que las aplicaciones auditen las bibliotecas que incluyen en su base de código. Las grandes empresas quizás deberían hacer más para contribuir y mejorar la seguridad del software de código abierto (OSS) que emplean en sus productos. Un ejemplo más reciente y análogo dio lugar a la divulgación de cinco vulnerabilidades en libxml2.

