由恶意GIF文件引发的RCE漏洞,超过40000个应用受影响
本月初,新加坡安全研究员@Awakened披露了关于WhatsApp(2.19.244之前版本)存在的RCE漏洞(CVE-2019-11932)利用的文章,该漏洞由Android-gif-Drawable开源库中double-free错误触发。
攻击者通过向WhatsApp用户发送一个精心制作的恶意GIF文件,就可以获得WhatsApp的应用权限,在手机端进行SD卡读取、音频录制、摄像头访问、文件系统访问、WhatsApp沙盒存储访问等操作。
在Facebook和该开源库的开发者合作下,目前已经顺利修复了该漏洞。
但事情似乎并没有那么简单,Android-gif-Drawable用于Android系统进行GIF图像解析的开源库,通过JNI捆绑Giflib的方式对帧数进行渲染,与WebView类和Movie类相比渲染效率较高,截至目前,在GitHub上得到的Star数已经超过7800。腾讯安全玄武实验室阿图因系统分析结果显示,该GIF开源库被大量安卓APP使用,全球范围内43619个使用该GIF开源库开发的安卓APP可能受此漏洞影响。
因此,double-free错误的存在影响的应该远远不止WhatsApp。凡使用该GIF开源库进行GIF图像解析的安卓应用(APP)都可能受此漏洞影响。攻击者通过向受影响的APP用户远程发送恶意GIF文件,可在目标设备的APP应用权限环境下执行任意代码(安卓8.0版本及以上)或导致应用拒绝服务(安卓8.0版本以下)。
TK教主也关注到了该漏洞,并在朋友圈表示,“基本每个互联网企业都有产品受影响,不过微信和QQ并没有用这个(GIF开源库)”。
目前,开发者在九月初就已经修复了开源库存在的这个bug,版本号v1.2.18级以上均不再受影响。建议采用该GIF开源库的APP开发者尽快更换到最新的版本,尽快推送新版的APP更新以缓解风险。当然,无论是否有漏洞影响,用户在使用终端设备时尽量避免打开未知风险的文件。
Android-gif-Drawable开源库发行地址:https://github.com/koral–/android-gif-drawable/releases