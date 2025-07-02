العلامات
إعادة إنتاج خطأ قيمته مليون دولار: WhatsApp CVE-2019-11932 (باستخدام AFL وFrida)

المؤلفون

Ruben Boonen

CNE Capability Lead, Adversary Services

IBM X-Force

مقدمة

يُعد هذا المنشور في جزء منه تحليلاً لثغرة التفريغ المزدوج للذاكرة (CVE-2019-11932) في مكتبة معالجة الصور المستخدمة في WhatsApp، وفي جزء آخر يُعد مرجعًا لتطوير نظام اختبار على الجهاز عند اختبار المكتبات الأصلية عشوائيًا على Android. لقد علمت بهذه الثغرة لأول مرة من خلال قراءة منشور مدونة كتبه Awakened، الباحث الذي كشف عن المشكلة. لم يوضح الكاتب كيفية العثور على هذه المشكلة، وأردت أن أعرف مدى صعوبة إعادة اكتشاف هذا الخطأ. وكما سنرى، فإن الثغرة الأمنية نفسها بسيطة إلى حد ما ويسهل إعادة إنتاجها عن طريق اختبار المكتبة المعرضة للخطر عشوائيًا باستخدام AFL++.

تُعد نقاط الضعف والثغرات الأمنية الشائعة (CVE) هذه مثيرة للاهتمام على وجه الخصوص لأنه يمكن تشغيل كود المكتبة المعرض للخطر (android-gif-drawable < v1.2.18) عن بُعد من خلال إرسال ملف GIF مشوه إلى شخص ما. ولم تكن هذه الطريقة البدائية مثالية لأنها اعتمدت على اتخاذ الهدف لبعض الإجراءات اليدوية، مثل فتح معرض صور WhatsApp. بالإضافة إلى ذلك، لن تكون هذه الثغرة الأمنية إلا جزءًا من سلسلة عناصر أكبر تتضمن ثغرات أمنية إضافية، على سبيل المثال، لتنفيذ عمليات تسريب المعلومات وزيادة الامتيازات. لكن هذه الأنواع من الثغرات الأمنية نادرة ومكلفة بسبب القيمة الاستخباراتية البشرية المحتملة التي تقدمها. توضح هذه الحالة أيضًا سبب أهمية تدقيق التطبيقات في المكتبات التي تدرجها في قاعدة الكود الخاصة بها. ربما ينبغي للمؤسسات الكبيرة أن تبذل المزيد من الجهد للإسهام في تحسين أمن البرمجيات مفتوحة المصدر (OSS) التي تستخدمها في منتجاتها. وقد أدى مثال أحدث مماثل إلى الكشف عن خمس ثغرات في libxml2.

تحليل السبب الأساسي (RCA) للثغرة CVE-2019-11932

بناءً على مقالة Awakenedعن الثغرة الأمنية، ركزت جهودي على إجراء فك تشفير ملف GIF. يتكون هيكل ملف GIF من رأس الصفحة وواصف شاشة منطقي متبوعٍ بتدفق من التسجيلات لكل إطار. تتكون هذه التسجيلات من واصف الصورة (العرض، والارتفاع، والوضعية، والألوان)، وكتل اختيارية ملحقة (الوضوح، وإبطاء الحركة، وما إلى ذلك)، وبيانات وحدات بكسل مضغوطة. في decoding.c، توجد دالة، تُسمى DDGifSlurp، تستعرض تدفقات تسجيلات GIF وتُنشئ بيانات وصفية لكل إطار. في حال ظهور الدالة decode=true، فإنها تستخرج وحدات البكسل الأولية لكل إطار. عادةً ما تكون الإطارات بحجم واحد. وهذا أمر منطقي لأنه عندما تنظر إلى صورة GIF، فإنك ترى سلسلة من الإطارات تُعرض في حلقة متكررة. عندما تكون الإطارات بحجم واحد، ستستمر الدالة في إعادة استخدام التخصيص الذي أنشأته لتخزين المخزن المؤقت (rasterBits). ومع ذلك، تتعامل الدالة مع الحالات التي تكون فيها الإطارات مختلفة الحجم عن طريق استدعاء reallocarray لتخصيص مخزن مؤقت جديد. دالة realloc هي مزيج من free وmalloc. إذا لم يتوفر أي حجم، فإنها ببساطة تحرر المؤشر.

تنفيذ df309bb - decoding.c هنا

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame) {
    GifRecordType RecordType;
    GifByteType *ExtData;
    int ExtFunction;
    GifFileType *gifFilePtr;
    gifFilePtr = info->gifFilePtr;
    uint_fast32_t lastAllocatedGCBIndex = 0;

...

if (decode) {
    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr-
->Image.Height;
    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

إذا تخيلنا أن الإطار الأول له أبعاد طبيعية، 40*10، يُخصص مخزن مؤقت بحجم 400 بايت. أما الإطار الثاني، فله أبعاد مشوهة، 0*20. في هذه الحالة، يكون ما يلي صحيحًا:

  • قيمة widthOverflow خاطئة
  • قيمة heightOverflow صحيحة
  • قيمة newRasterSize تبلغ 0

عند استدعاء reallocarray، يُحسب حجم التخصيص على أنه 0*20=0؛ وهذا يتسبب في أن تكون rasterBits free'd. إذا كان الإطار الثالث يحتوي على أبعاد مشوهة بالمثل، فإنه يحررالمؤشر نفسه مرة أخرى، ما ينتج عنه ثغرة التفريغ المزدوج للذاكرة.

android-gif-drawable

الرموز

الرموز مهمة؛ فهي تسهل تفسير ما يفعله جزء من الكود. إذا حللت المكتبات المستخلصة من ملف Android Package Kit (APK)، فمن المرجح أن تكون مجردة من الرموز. في حالتنا هذه على وجه الخصوص، بالنسبة إلى android-gif-drawable، هذه ليست مشكلة لأننا نستطيع الوصول إلى المصدر. ولكن، إذا كنت بحاجة إلى إجراء هندسة عكسية لملف ثنائي مغلق المصدر، فيجب عليك على الأقل تطبيق أنواع واجهة جافا الأصلية (JNI) لجعل عملية البحث أكثر وضوحًا. يوجد منشور نشره @Ch0pin يمكنك قراءته من هنا لتزويدك بمزيد من المعلومات الأساسية. في حالتي، استخدمت Binary Ninja، ووجدت ملف عنوان أنواع عامل يمكن استيراده هنا.

لفهم كيفية تطبيق الأنواع، يمكنك البحث في ملف APK الذي جرى فك تحويله البرمجي عن البيانات الأصلية. في لقطة الشاشة أدناه، يمكننا أن نرى بعض بيانات android-gif-drawable المأخوذة من ملف APK في JEB.

لقطة شاشة تُظهر JEB Dalvik bytecode
JEB Dalvik bytecode

إليك getFrameDuration كمثال:

.method public static native getFrameDuration(J, I)I
.end method

 

هنا، تترجمJ إلى jlong وI تترجم إلى jint. لاحظ أن الدالة تحتوي أيضًا على نوع إرجاع هو jint. إذا دمجنا هذه القيم مع اصطلاح الاستدعاء القياسي لاستدعاء JNI الأصلي، فسينتهي بنا الأمر إلى ما يلي:

jint getFrameDuration(JNIEnv* env, jclass clazz, jlong arg0, jint arg1)

 

يمكنك تطبيق بعض الأتمتة على هذه العملية (باستخدام واجهة androguard، أو JEB، إلخ). باستخدام تعيينات الأنواع المناسبة، يمكنك برمجيًا تتبع كل فئة وتطبيق جميع الأنواع المحددة على المكتبة التي تُحللها.

استخراج رموز JNI وتطبيقها على قاعدة بيانات Binary Ninja
استخراج رموز JNI وتطبيقها على قاعدة بيانات Binary Ninja

يلزم إجراء بعض الأعمال الهندسية لتحليل ملف APK، واستخراج تعريفات الاستدعاء، وتطبيقها في أداة فك التشفير التي تفضلها. وهذا الجهد في محله لأنه يقلل من حجم العمل اليدوي، ويمكن أن يمنحك نظرة عامة موجزة على استخدام المكتبة الأصلية في APK ككل.

لقطة شاشة لأداة Binary Ninja فكت التحويل البرمجي للكود الأصلي
أداة Binary Ninja فكت التحويل البرمجي للكود الأصلي
تعزيز الذكاء الأمني لديك  

ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.  

اختبار DDGifSlurp العشوائي

كيف يمكننا الوصول إلى الدالة المستهدفة؟

أول شيء فعلته (بما أن المكتبة مفتوحة المصدر) هو إنشاء إصداري الخاص من android-gif-drawable من حزمة الإصدار v1.2.17 باستخدام Android NDK. بعد ذلك، راجعت الصادرات المتوفرة في الملف الثنائي:

➜ nm -D lib/libpl_droidsonroids_gif_fixed.so | awk '$3 ~ /^D/ || $3 ~ /^Java_pl_/'
 0000000000006214 T DDGifSlurp
 000000000000ad14 T DGifCloseFile
 000000000000ac58 T DGifExtensionToGCB
 000000000000a91c T DGifGetCodeNext
 000000000000aa68 T DGifGetExtension
 000000000000ab20 T DGifGetExtensionNext
 0000000000009cc0 T DGifGetImageDesc
 000000000000a254 T DGifGetLine
 0000000000009b98 T DGifGetRecordType
 000000000000989c T DGifGetScreenDesc
 0000000000009644 T DGifOpen
 000000000000bb90 T DetachCurrentThread
 000000000000d53c T Java_pl_droidsonroids_gif_GifInfoHandle_bindSurface
 0000000000009314 T
Java_pl_droidsonroids_gif_GifInfoHandle_createTempNativeFileDescriptor
 00000000000091ac T
Java_pl_droidsonroids_gif_GifInfoHandle_extractNativeFileDescriptor
 0000000000006d20 T Java_pl_droidsonroids_gif_GifInfoHandle_free
 000000000000c238 T Java_pl_droidsonroids_gif_GifInfoHandle_getAllocationByteCount
 000000000000bd74 T Java_pl_droidsonroids_gif_GifInfoHandle_getComment
 000000000000c578 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentFrameIndex
 000000000000c528 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentLoop
 000000000000c008 T Java_pl_droidsonroids_gif_GifInfoHandle_getCurrentPosition
 000000000000bf00 T Java_pl_droidsonroids_gif_GifInfoHandle_getDuration
 000000000000caa4 T Java_pl_droidsonroids_gif_GifInfoHandle_getFrameDuration
 000000000000cbc0 T Java_pl_droidsonroids_gif_GifInfoHandle_getHeight
 000000000000be68 T Java_pl_droidsonroids_gif_GifInfoHandle_getLoopCount
 000000000000c15c T Java_pl_droidsonroids_gif_GifInfoHandle_getMetadataByteCount
 000000000000c4d4 T Java_pl_droidsonroids_gif_GifInfoHandle_getNativeErrorCode
 000000000000cc14 T Java_pl_droidsonroids_gif_GifInfoHandle_getNumberOfFrames
 000000000000c5cc T Java_pl_droidsonroids_gif_GifInfoHandle_getSavedState
 000000000000bfb4 T Java_pl_droidsonroids_gif_GifInfoHandle_getSourceLength
 000000000000cb6c T Java_pl_droidsonroids_gif_GifInfoHandle_getWidth
 000000000000cc68 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexImage2D
 000000000000cd50 T Java_pl_droidsonroids_gif_GifInfoHandle_glTexSubImage2D
 000000000000ce38 T Java_pl_droidsonroids_gif_GifInfoHandle_initTexImageDescriptor
 000000000000bde4 T Java_pl_droidsonroids_gif_GifInfoHandle_isAnimationCompleted
 000000000000cb10 T Java_pl_droidsonroids_gif_GifInfoHandle_isOpaque
 00000000000084cc T Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
 00000000000087a4 T Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
 0000000000008278 T Java_pl_droidsonroids_gif_GifInfoHandle_openFile
 0000000000009340 T Java_pl_droidsonroids_gif_GifInfoHandle_openNativeFileDescriptor
 0000000000008ab8 T Java_pl_droidsonroids_gif_GifInfoHandle_openStream
 000000000000e354 T Java_pl_droidsonroids_gif_GifInfoHandle_postUnbindSurface
 00000000000057dc T Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame
 000000000000597c T Java_pl_droidsonroids_gif_GifInfoHandle_reset
 000000000000611c T Java_pl_droidsonroids_gif_GifInfoHandle_restoreRemainder
 000000000000c9d8 T Java_pl_droidsonroids_gif_GifInfoHandle_restoreSavedState
 000000000000603c T Java_pl_droidsonroids_gif_GifInfoHandle_saveRemainder
 0000000000005f6c T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrame
 000000000000d4d0 T Java_pl_droidsonroids_gif_GifInfoHandle_seekToFrameGL
 0000000000005ccc T Java_pl_droidsonroids_gif_GifInfoHandle_seekToTime
 000000000000beb8 T Java_pl_droidsonroids_gif_GifInfoHandle_setLoopCount
 000000000000b948 T Java_pl_droidsonroids_gif_GifInfoHandle_setOptions
 00000000000059e4 T Java_pl_droidsonroids_gif_GifInfoHandle_setSpeedFactor
 000000000000cfa0 T Java_pl_droidsonroids_gif_GifInfoHandle_startDecoderThread
 000000000000d374 T Java_pl_droidsonroids_gif_GifInfoHandle_stopDecoderThread

 

وهذه معلومات مفيدة لأننا نعلم أنه يمكننا استدعاء DDGifSlurp مباشرةً، ويمكننا أيضًا رؤية مجموعة الدوال التي يصدرها JNI. إذا نظرنا إلى DDGifSlurp مرة أخرى، سنجد أن الوسيطة الأولى هي مؤشر لنوع معقد، هو GifInfo.

void DDGifSlurp(GifInfo *info, bool decode, bool exitAfterFrame)

 

تنفيذ df309bb - gif.h هنا

struct GifInfo {
    void (*destructor)(GifInfo *, JNIEnv *);
    GifFileType *gifFilePtr;
    GifWord originalWidth, originalHeight;
    uint_fast16_t sampleSize;
    long long lastFrameRemainder;
    long long nextStartTime;
    uint_fast32_t currentIndex;
    GraphicsControlBlock *controlBlock;
    argb *backupPtr;
    long long startPos;
    unsigned char *rasterBits;
    uint_fast32_t rasterSize;
    char *comment;
    uint_fast16_t loopCount;
    uint_fast16_t currentLoop;
    RewindFunc rewindFunction;
    jfloat speedFactor;
    uint32_t stride;
    jlong sourceLength;
    bool isOpaque;
    void *frameBufferDescriptor;
};

 

يمكننا إنشاء كائن GifInfo مزيف يدويًا؛ لكن هذا الكائن كبير جدًا وهو في حد ذاته مجمع من أنواع معقدة أخرى (مثل GifFileType). فبدلاً من ذلك، من المنطقي أكثر التحقق من الدوال الأصلية الأخرى لمعرفة كيفية إنشاء كائنات GifInfo عادةً. يمكننا العثور بسرعة على بعض المرشحين المحتملين.

تنفيذ df309bb - gif.c هنا

Java_pl_droidsonroids_gif_GifInfoHandle_openFile
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
Java_pl_droidsonroids_gif_GifInfoHandle_openDirectByteBuffer
Java_pl_droidsonroids_gif_GifInfoHandle_openStream

 

من بين هذه المتغيرات، يبدو أن متغيرات البايت هي الأقل تكلفة؛ فعلى وجه الخصوص، لا يتطلب منا openByteArray سوى إنشاء كائن jbyteArray، وهو ما يمكننا فعله بسهولة بلغة C.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, jclass __unused
class, jbyteArray bytes) {
    if (isSourceNull(bytes, env)) {
        return NULL_GIF_INFO;
    }
    ByteArrayContainer *container = malloc(sizeof(ByteArrayContainer));
    if (container == NULL) {
        throwException(env, OUT_OF_MEMORY_ERROR, OOME_MESSAGE);
        return NULL_GIF_INFO;
    }
    container->buffer = (*env)->NewGlobalRef(env, bytes);
    if (container->buffer == NULL) {
        free(container);
        throwException(env, RUNTIME_EXCEPTION_BARE, "NewGlobalRef failed");
        return NULL_GIF_INFO;
    }
    container->length = (unsigned int) (*env)->GetArrayLength(env, container->buffer);
    container->position = 0;
    GifSourceDescriptor descriptor = {
            .rewindFunc = byteArrayRewind,
            .sourceLength = container->length
    };
    descriptor.GifFileIn = DGifOpen(container, &byteArrayRead, &descriptor.Error);
    descriptor.startPos = container->position;

    GifInfo *info = createGifInfo(&descriptor, env);

    if (info == NULL) {
        (*env)->DeleteGlobalRef(env, container->buffer);
        free(container);
    }
    return (jlong) (intptr_t) info;
}

 

لاحظ أن كائن GifInfo نفسه يُنشأ باستخدام createGifInfo

تنفيذ df309bb - init.c هنا

GifInfo *createGifInfo(GifSourceDescriptor *descriptor, JNIEnv *env) {
    if (descriptor->startPos < 0) {
        descriptor->Error = D_GIF_ERR_NOT_READABLE;
    }
    if (descriptor->Error != 0 || descriptor->GifFileIn == NULL) {
        bool readErrno = descriptor->rewindFunc == fileRewind && (descriptor->Error ==
D_GIF_ERR_NOT_READABLE || descriptor->Error == D_GIF_ERR_READ_FAILED);
        throwGifIOException(descriptor->Error, env, readErrno);
        DGifCloseFile(descriptor->GifFileIn);
        return NULL;
    }

    GifInfo *info = malloc(sizeof(GifInfo));

...

    DDGifSlurp(info, false, false);
    info->rasterBits = NULL;
    info->rasterSize = 0;
    info->originalHeight = info->gifFilePtr->SHeight;
    info->originalWidth = info->gifFilePtr->SWidth;

...

في مقتطف الكود الوارد أعلاه، يمكنك أن ترى أن دالة التهيئة تستدعي أيضًا DDGifSlurp، ولكنها لا تتمكن من تشغيل الكود الذي يحتوي على ثغرة لأن decode=false. يؤدي تعيين هذه العلامة على خاطئة إلى تشغيل حالة isInitialPass داخل DDGifSlurp، والتي تسجل البيانات الوصفية لكل إطار فقط من دون تحليل الإطارات.

في هذه المرحلة، أصبح لدينا فهم جيد جدًا لكيفية استدعاء مسار الكود الذي به ثغرات، ويمكننا تجميع سلسلة من الاستدعاءات للوصول إلى الدالة التي نريد اختبارها عشوائيًا.

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ DDGifSlurp

 

ومع ذلك، فإننا نفتقد عنصرين هنا. أولاً، إذا أنشأنا الآلاف من عمليات الاستدعاء هذه، فستنفد الذاكرة ويتعطل نظام الاختبار لدينا، لذا علينا التأكد من توفير أي موارد ننشئها. ولتحقيق ذلك، يمكننا استخدام دالة أخرى من الدوال المصدرة من JNI.

تنفيذ df309bb - dispose.c هنا

Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass __unused handleClass, jlong gifInfo)

 

والعنصر الثاني المفقود أقل وضوحًا بكثير. عندما تهيئ DDGifSlurp ملف GIF، فإنه تفحص قائمة الإطارات، وتعدل كائن GifInfo في أثناء ذلك. قبل أن نتمكن من معالجة ملف Gif مرة أخرى، نحتاج إلى إرجاعه إلى حالته الأولية. حيث يؤدي فعل ذلك إلى إعادة تعيين موضعنا في ByteArrayContainer إلى موضع البدء وإعادة تعيين بعض خصائص كائن GifInfo، كما يتضح أدناه.

تنفيذ df309bb - controle.c هنا

bool reset(GifInfo *info) {
    if (info->rewindFunction(info) != 0) {
        return false;
    }
    info->nextStartTime = 0;
    info->currentLoop = 0;
    info->currentIndex = 0;
    info->lastFrameRemainder = -1;
    return true;
}

__unused JNIEXPORT jboolean JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *__unused  env, jclass  __unused
class, jlong gifInfo) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info != NULL && reset(info)) {
        return JNI_TRUE;
    }
    return JNI_FALSE;
}

 

تبدو سلسلة الاستدعاءات النهائية لدينا على النحو التالي:

Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray
   |_ Java_pl_droidsonroids_gif_GifInfoHandle_reset
     |_ DDGifSlurp
       |_ Java_pl_droidsonroids_gif_GifInfoHandle_free

اختبار فرضياتنا

يمكننا إنشاء ملف اختبار ثنائي يأخذ ملف GIF من القرص الصلب ويمررها عبر سلسلة الاستدعاءات لدينا. لاحظ أننا أضفنا ملف عنوان jenv (مأخوذ من منشور Quarkslab هذا )، وأضفنا أيضًا عنوان gif مباشرةً من مكتبة android-gif-drawable نفسها.

عادةً، بالنسبة إلى الاختبار العشوائي، سنكون في أحد السيناريوهات الثلاثة التالية:

  • نحن نعمل على اختبار كود المكتبة الأصلية عشوائيًا؛ وليس لدينا أية تبعيات.
  • لقد اعتمدنا على JNINativeInterface (JNIEnv)، ولكن يمكننا إنشاء جميع وسيطات الدوال التي نحتاجها لاستدعاء الكود الأصلي يدويًا (على سبيل المثال، jbyteArray).
  • لقد اعتمادنا على بعض كائنات جافا المعقدة التي لا يمكننا إنشاؤها بلغة C. وفي هذه الحالة، يجب علينا تحميل ملف APK أو فئة جافا مجمعة خصوصًا لإنشاء وسيطاتنا.

في حالتنا هذه، لدى openByteArray نموذج أولي بسيط إلى حد ما، لذا نحن في هذه الفئة الثانية، حيث يمكننا إنشاء وسيطات الدوال من C من دون تبعيات إضافية.

#include <errno.h>
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <stdbool.h>
#include <string.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

/* JNI symbols we call directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *env, class
clazz, jbyteArray bytes);
extern void  Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *env, jclass clazz,
jlong gifInfo);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *env, class
clazz, jlong gifInfo);
extern jint JNI_OnLoad(JavaVM *vm, void *reserved);

static JavaCTX ctx;

/**
 * read_file - read an entire file into a memory buffer
 * @path: path to the input file
 * @out_len: pointer to size_t where the number of bytes read will be stored
 * Returns a pointer to the data, or NULL on error.
 * Caller is responsible for freeing the returned buffer.
 */
static uint8_t *read_file(const char *path, size_t *out_len) {
    FILE *f = fopen(path, "rb");
    if (!f) return NULL;
    fseek(f, 0, SEEK_END);
    long sz = ftell(f);
    rewind(f);
    if (sz <= 0) { fclose(f); return NULL; }
    uint8_t *buf = malloc((size_t)sz);
    if (!buf) { fclose(f); return NULL; }
    if (fread(buf, 1, (size_t)sz, f) != (size_t)sz) { free(buf); fclose(f); return
NULL; }
    fclose(f);
    *out_len = (size_t)sz;
    return buf;
}

/**
 * main - read a GIF file, run DDGifSlurp to trigger CVE-2019-11932, and print results
 * @argc: number of command-line arguments
 * @argv: argument vector, expects GIF file path as argv[1]
 * Returns exit code, 0 on success, non-zero on error
 */
int main(int argc, char *argv[]) {
    if (argc != 2) {
        fprintf(stderr, "Usage: %s <gif_path>\n", argv[0]);
        return 1;
    }
    const char *input_path = argv[1];
    /* 1. Read GIF from disk */
    size_t len = 0;
    uint8_t *data = read_file(input_path, &len);
    if (!data) {
        fprintf(stderr, "[-] Failed to read %s\n", input_path);
        return 1;
    }


    /* 2. Initialize Java VM without custom options */
    if (init_java_env(&ctx, NULL, 0) != 0) {
        fprintf(stderr, "[-] init_java_env failed\n");
        free(data);
        return 1;
    }

    /* get JNIEnv */
    JNIEnv *e = ctx.env;

    /* 3. Ensure GIF library's JNI_OnLoad runs to set up g_jvm */
    JNI_OnLoad(ctx.vm, NULL);

    /* 4. Single open-decode-free cycle */

    /* Create Java byte[] */
    jbyteArray arr = (*e)->NewByteArray(e, (jsize)len);
    if (!arr) {
        fprintf(stderr, "[-] NewByteArray failed\n");
        free(data);
        return 1;
    }
    (*e)->SetByteArrayRegion(e, arr, 0, (jsize)len, (const jbyte *)data);

    /* open */
    jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(e, NULL, arr);
    (*e)->DeleteLocalRef(e, arr);
    if ((*e)->ExceptionCheck(e) || gptr == 0) {
        fprintf(stderr, "[-] openByteArray failed\n");
        (*e)->ExceptionClear(e);
        free(data);
        return 1;
    }

    /* rewind */
    Java_pl_droidsonroids_gif_GifInfoHandle_reset(e, NULL, gptr);

    /* decode (vulnerable) */
    DDGifSlurp((GifInfo *)(intptr_t)gptr, true, false);

    /* print some info */
    GifInfo *info = (GifInfo *)(intptr_t)gptr;
    printf("[+] GifInfo at %p: %lu x %lu, %lu frames, loop %lu, error %d\n",
           (void*)info,
           (unsigned long)info->originalWidth,
           (unsigned long)info->originalHeight,
           (unsigned long)info->gifFilePtr->ImageCount,
           (unsigned long)info->loopCount,
           (int)info->gifFilePtr->Error);

    /* free */
    Java_pl_droidsonroids_gif_GifInfoHandle_free(e, NULL, gptr);
    (*e)->ExceptionClear(e);
    free(data);
    return 0;
}

الكود أعلاه سيقرأ صورة من القرص، ويهيئ جهاز جافا الافتراضي (JVM)، وينشئ jbyteArray، ويمرر الصورة عبر سلسلة الاستدعاءات لدينا. وفي النهاية، نطبع بعض الخصائص من كائن GifInfo حتى نتمكن من الحصول على بعض البيانات الوصفية والتأكد من تشغيل الكود حتى الاكتمال من دون أخطاء. ولاحقًا، يمكننا استخدام ملف الاختبار الثنائي هذا لتصحيح أي أعطال قد نجدها.

لقطة شاشة لتنفيذ اختبار DDGifSlurp
تنفيذ اختبار DDGifSlurp

إنشاء نظام اختبار

بعد تجاوزنا للجزء الصعب، يمكننا إنشاء نظام اختبار عشوائي عن طريق تضمين كود الاختبار في قوالب AFL++. بشكل أساسي، نهيئ جهاز جافا الافتراضي ثم ننشئ دالة تأخذ مصفوفة بايت كإدخال. ستنفذ هذه الدالة، fuzz_one_input، جميع الإجراءات اللازمة للتقدم عبر سلسلة الاستدعاءات مرة واحدة باستخدام الإدخال المقدم. سنستخدم Frida لربط هذه الدالة حتى يتمكن AFL من تمرير المدخلات إليها وجمع بيانات التغطية.

#include <errno.h>
#include <stdio.h>
#include <stdint.h>
#include <jni.h>
#include "../include/jenv.h"
#include "../android-gif-drawable-1.2.17/android-gif-drawable/src/main/c/gif.h"

#define BUFFER_SIZE 65536

/* JNI symbols we invoke directly */
extern jlong Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(JNIEnv *, class,
jbyteArray);
extern jboolean Java_pl_droidsonroids_gif_GifInfoHandle_reset(JNIEnv *, class,
jlong);
extern void Java_pl_droidsonroids_gif_GifInfoHandle_free(JNIEnv *, jclass, jlong);
extern jint JNI_OnLoad(JavaVM *, void *);

static JavaCTX ctx;

/*
 * fuzz_one_input – entry used by Frida-AFL persistent mode.
 * Creates a GifInfo from the fuzz data, rewinds the stream, runs a full
 * decode with DDGifSlurp, then frees the structure.
 */
__attribute__((visibility("default")))
void fuzz_one_input(const uint8_t *data, size_t len) {
  JNIEnv *env = ctx.env;
  if (len < 6) return; /* need at least GIF header */

  /* Create Java byte[] */
  jbyteArray arr = (*env)->NewByteArray(env, (jsize)len);
  if (!arr) return;
  (*env)->SetByteArrayRegion(env, arr, 0, (jsize)len, (const jbyte *)data);

  /* GifInfoHandle.openByteArray */
  jlong gptr = Java_pl_droidsonroids_gif_GifInfoHandle_openByteArray(env, NULL, arr);
  (*env)->DeleteLocalRef(env, arr);
  if ((*env)->ExceptionCheck(env) || gptr == 0) {
    (*env)->ExceptionClear(env);
    return;
  }

  /* Rewind so decode starts at offset 0 */
  Java_pl_droidsonroids_gif_GifInfoHandle_reset(env, NULL, gptr);

  /* Full decode – this is where CVE-2019-11932 triggers */
  GifInfo *info = (GifInfo *)(intptr_t)gptr;
  DDGifSlurp(info, true, false);

  /* Cleanup */
  Java_pl_droidsonroids_gif_GifInfoHandle_free(env, NULL, gptr);
  (*env)->ExceptionClear(env);
}

/**
 * main - AFL-Frida fuzzing harness entry point
 *
 * Reads up to BUFFER_SIZE bytes from stdin, initializes the Java VM,
 * invokes fuzz_one_input for persistent-mode decoding, and exits.
 *
 * Return: 0 on success (no crash or crash handled by AFL),
 *         non-zero on initialization or read error.
 */
int main(void) {
  uint8_t buffer[BUFFER_SIZE];
  ssize_t rlen = fread(buffer, 1, sizeof buffer, stdin);
  if (rlen == -1) return errno;

  /* Start JVM with default options */
  if (init_java_env(&ctx, NULL, 0) != 0) return 1;

  /* Ensure gif library initialises its global JVM pointer */
  JNI_OnLoad(ctx.vm, NULL);

  fuzz_one_input(buffer, (size_t)rlen);
  return 0;
}

 

نص Frida البرمجي الصغير أدناه يجعل AFL++ تمرر مدخلات إلى نظام الاختبار. ويحقن خطاف C صغير ينسخ كل حالة اختبار AFL مباشرة إلى المخزن المؤقت لمدخلات الدالة، ويخبر AFL++ بالضبط أين تبدأ في كل دورة تكرار، وتستفيد من أدوات Frida لجمع بيانات التغطية.

Afl.print(`[*] Starting FRIDA config for PID: ${Process.id}`);

// Modules to be instrumented by Frida
const MODULE_WHITELIST = [
  "fuzz_DDGifSlurp",
  "libpl_droidsonroids_gif_fixed.so",
];

// Persistent hook
const hook_module = new CModule(`
  #include <string.h>
  #include <gum/gumdefs.h>

  #define BUF_LEN 65536

  void afl_persistent_hook(GumCpuContext *regs, uint8_t *input_buf,
    uint32_t input_buf_len) {

    uint32_t length = (input_buf_len > BUF_LEN) ? BUF_LEN : input_buf_len;
    memcpy((void *)regs->x[0], input_buf, length);
    regs->x[1] = length;
  }
  `,
  {
    memcpy: Module.getExportByName(null, "memcpy")
  }
);

// Persistent loop start address
const pPersistentAddr = DebugSymbol.fromName("fuzz_one_input").address;

// Exclude from instrumentation
Module.load("libandroid_runtime.so");
new ModuleMap().values().forEach(m => {
  if (!MODULE_WHITELIST.includes(m.name)) {
    Afl.print(`Exclude: ${m.base}-${m.base.add(m.size)} ${m.name}`);
    Afl.addExcludedRange(m.base, m.size);
  }
});

Afl.setEntryPoint(pPersistentAddr);
Afl.setPersistentHook(hook_module.afl_persistent_hook);
Afl.setPersistentAddress(pPersistentAddr);
Afl.setPersistentCount(3000); // Limit how many iterations before reinitializing
                              // the environment
Afl.setInMemoryFuzzing();
Afl.setInstrumentLibraries();
Afl.done();
Afl.print("[*] All done!");

وأخيرًا، يمكننا بدء اختبار عشوائي على الهاتف.

panther: # su
panther: # cd /sys/devices/system/cpu
panther:/sys/devices/system/cpu # echo performance | tee cpu*/cpufreq/scaling_governor
performance
panther:/sys/devices/system/cpu # cd /data/local/tmp/whatsapp
panther:/data/local/tmp/whatsapp # ./afl-fuzz -O -G 4096 -i in -o out
./fuzz_DDGifSlurp

 

تركت أداة الاختبار العشوائي تعمل لمدة 7 ساعات تقريبًا قبل إنهاء التشغيل. وكما نرى من خلال إخراج AFL أدناه، لقد نفذنا أكثر من 200 مليون حالة اختبار وسجلنا 29.1 ألف عطل، حفظ منهم 42. يطبق AFL بعض القواعد الاستدلالية بناءً على نوع الإشارة، وعنوان الأعطال، والحدود في خريطة التغطية لتحديد ما إذا كان العطل مهمًا بما يكفي لحفظه أم لا. وهذا لا يعني أن كل عطل من هذه الأعطال فريد من نوعه.

لقطة شاشة لاختبار AFL++ العشوائي على الجهاز
اختبار AFL++ العشوائي على الجهاز

فرز الأعطال

إذا أردنا فرز الأعطال، يمكننا توسيع المكتبة المعرضة للخطر عن طريق إضافة بعض عبارات الطباعة الإضافية التي ستمنحنا المزيد من المعارف حول ما يحدث داخل حالة فك تشفير DDGifSlurp.

if (decode) {
    // Print raw values used in calculations
    printf("[DEBUG] Image.Width=%u, Image.Height=%u, originalWidth=%u,
originalHeight=%u, currentRasterSize=%u\n",
           (unsigned)gifFilePtr->Image.Width,
           (unsigned)gifFilePtr->Image.Height,
           (unsigned)info->originalWidth,
           (unsigned)info->originalHeight,
           (unsigned)info->rasterSize);

    int_fast32_t widthOverflow = gifFilePtr->Image.Width - info->originalWidth;
    int_fast32_t heightOverflow = gifFilePtr->Image.Height - info->originalHeight;
    const uint_fast32_t newRasterSize = gifFilePtr->Image.Width * gifFilePtr->Image.Height;

    // Pretty-print computed overflow and new raster size
    printf("[DEBUG] widthOverflow=%d, heightOverflow=%d, newRasterSize=%u\n",
           (int)widthOverflow,
           (int)heightOverflow,
           (unsigned)newRasterSize);

    if (newRasterSize > info->rasterSize || widthOverflow > 0 || heightOverflow > 0) {
        void *tmpRasterBits = reallocarray(info->rasterBits, newRasterSize,
sizeof(GifPixelType));
        if (tmpRasterBits == NULL) {
            gifFilePtr->Error = D_GIF_ERR_NOT_ENOUGH_MEM;
            break;
        }
        info->rasterBits = tmpRasterBits;
        info->rasterSize = newRasterSize;
    }

...

 

ولتسهيل الأمر علينا، يمكننا أيضًا إعادة تجميع test_DDGifSlurp باستخدام ASan، وهو ما سيعطينا معلومات أكثر تفصيلاً حول الخطأ الذي حدث في وقت التشغيل من دون الاضطرار إلى فحص LLBD على الفور.

➜  cmake \                                                          
    -DANDROID_PLATFORM=31 \
     -DCMAKE_TOOLCHAIN_FILE=/opt/homebrew/share/android-ndk/build/cmake/android.toolchain.cmake \
     -DANDROID_ABI=arm64-v8a \
     -DANDROID_ENABLE_ASAN=ON \
     -DCMAKE_BUILD_TYPE=Debug \
     -DCMAKE_C_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_CXX_FLAGS="-g -fsanitize=address -fno-omit-frame-pointer" \
     -DCMAKE_SHARED_LINKER_FLAGS="-fsanitize=address" \
     -DCMAKE_EXE_LINKER_FLAGS="-fsanitize=address" \
     .
 ➜  make

 

توجد بعض الأشكال المختلفة لهذه الثغرة التي يمكن تشغيلها بناءً على حجم وتكوين إطارات GIF.

لقطة شاشة للتفريغ المزدوج للذاكرة android-gif-drawable DDGifSlurp
التفريغ المزدوج للذاكرة android-gif-drawable DDGifSlurp

في هذا المثال، يمكننا أن نرى تباينًا مطابقًا تقريبًا للتباين الموجود في منشور مدونة Awakened.

  • الحالة الأولية: قيمة originalWidth تبلغ 16697، وقيمة originalHeight تبلغ 65530.
  • الإطار 0 : Image.Width تبلغ قيمتها 32768، وهي أكبر من قيمة originalWidth. ولذلك، فإننا نشغل reallocarray. لكن، نظرًا إلى أن Image.Height تبلغ قيمتها تصبح قيمة rasterSize النهائية 32768*0= 0. ونظرًا إلى سلوك reallocarray الداخلي، فإننا بدلاً من ذلك نحرر المؤشر، ونترك القيمة المرجعية معلقة ونتوقف.
  • الإطار 1: Image.Width تبلغ قيمتها 65535، وهي مرة أخرى أكبر من قيمة originalWidth ومرة أخرى قيمة Image.Height هي ما يؤدي إلى السلوك نفسه، ونحرر المؤشر نفسه مرة أخرى، ما يؤدي إلى تشغيل ASan.

الخاتمة

من الواضح أنه من الصعب فهم أداوت التحليل بشكل صحيح، ومن السهل ارتكاب الأخطاء أو وضع فرضيات غير متطابقة حول البيانات التي ستعالجها أداة التحليل. كان من السهل جدًا إعادة اكتشاف هذه الثغرة الأمنية باستخدام نظام الاختبار لدينا. وفي الواقع، أُبلغ عن أول حادث تعطل بعد دقائق قليلة من بدء التشغيل.

في الحالات التي تكون فيها هذه الأنواع من المكتبات مضمنة في التطبيقات شديدة الحساسية الأمنية، مثل تطبيقات المراسلة، يجب قطعًا أن تخضع لاختبارات يدوية وآلية مكثفة. إذا لم يتحقق مهندسو التطبيقات من كود المكتبة، فمن الواضح أن الباحثين سيفعلون ذلك (وقد يبلغون أو لا يبلغون عن نتائجهم، من دون إصدار أية أحكام).

الملحق

جرى الإبلاغ عن هذا الخطأ وإصلاحه في عام 2019، لكنني شعرت بالفضول وأجريت ببعض التحقيقات في سجل مشكلات المستودع. ومما أثار دهشتي، أني وجدتُ مشكلة تعود إلى عام 2016 أُغلقت بسبب عدم النشاط، والتي من شبه المؤكد أنها تتعلق بهذه الثغرة نفسها.

لقطة شاشة لتعطل renderFrame في GitHub
تعطل renderFrame في GitHub

يبلغ المستخدم عن عطل في Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame، وهي الطريقة المعتادة التي تستخدم بها المكتبة استدعاء DDGifSlurp المعرضة للخطر. في نظام الاختبار لدينا، لا نستدعي هذه الدالة للأسباب التالية:

  • سيتعين علينا إنشاء كائن Java Bitmap ، إما لكل دورة تكرار أو عن طريق إعادة استخدام كائن واحد مع بعض التغييرات.
  • في كل دورة اختبار عشوائي، سنحتاج إلى قفل البكسلات وإلغاء قفلها.

تتطلب هذه الإجراءات حوسبة مكثفة إذا نفذناها آلاف المرات في الثانية، ونحن لا نحتاج منها اختبار الدالة المعرضة للخطر.

__unused JNIEXPORT jlong JNICALL
Java_pl_droidsonroids_gif_GifInfoHandle_renderFrame(JNIEnv *env, jclass __unused
handleClass, jlong gifInfo, jobject jbitmap) {
    GifInfo *info = (GifInfo *) (intptr_t) gifInfo;
    if (info == NULL)
        return -1;

    long renderStartTime = getRealTime();
    void *pixels;
    if (lockPixels(env, jbitmap, info, &pixels) != 0) {
        return 0;
    }
    DDGifSlurp(info, true, false);
    if (info->currentIndex == 0) {
        prepareCanvas(pixels, info);
    }
    const uint_fast32_t frameDuration = getBitmap(pixels, info);
    unlockPixels(env, jbitmap);
    return calculateInvalidationDelay(info, renderStartTime, frameDuration);
}

 

أتوقع أن العديد من الباحثين في مجتمع أبحاث الثغرات الأمنية (VR) يراقبون مشكلات GitHub المفتوحة والمغلقة الواردة من المكتبات مفتوحة المصدر التي جرى تحميلها بواسطة تطبيقات حساسة. وبالنظر إلى مدى أهمية تطبيق WhatsApp كهدف، فلا أظن أني أنا أول من يفحص هذه المشكلة تحديدًا، وغيرها، في مكتبة android-gif-drawable. ولن أتفاجأ على الإطلاق إذا كان هذا الخطأ معروفًا قبل عام 2019.

المراجع

1. كيفية تحول خطأ التفريغ المزدوج للذاكرة في WhatsApp إلى RCE - هنا

  • منشور المدونة الأصلي نشره Awakened ووضح فيه الثغرة وطريقة الاستغلال. سيجد الباحث بعض المقالات الأخرى المثيرة للاهتمام في مدونته، ولكن الغريب أنه لم تُضاف أية منشورات جديدة بعد المنشور حول الثغرة الأمنية في WhatsApp. أنا متأكد أن أحد مختبرات البحث قد حصل على إضافة ممتازة إلى فريقه!

2. ثغرة معالجة صور GIF المصححة لا تزال تؤثر في تطبيقات الأجهزة المحمولة - هنا

  • تحليل جيد حقًا من Trend Micro، حيث حللوا أيضًا التأثير الواقع على تطبيقات Android الأخرى التي تعمل بإصدارات قديمة من المكتبة.

3. الاختبار العشوائي للصندوق الرمادي على Android باستخدام AFL++ ووضع Frida - هنا

  • معلومات أساسية عن الاختبار العشوائي لدوال JNI في بيئات مختلفة: الأصلية، والمتصلة بشكل ضعيف، والمتصلة بقوة. بقلم Eric Le Guevel @quarkslab.

4. اختبار Redux عشوائيًا، والاستفادة من AFL ++ ووضع Frida على مكتبات Android الأصلية - هنا

  • هذا منشور كتبته في عام 2024، يوفر مزيدًا من المعلومات الأساسية عن AFL++ Frida-Mode ويتضمن معلومات حول الإنشاء وأمثلة على الاستخدام.

5. android-gif-drawable - هنا

  • أحدث إصدار من المكتبة المعرضة للخطر v1.2.17 هنا
