由恶意GIF文件引发的RCE漏洞，超过40000个应用受影响

本月初，新加坡安全研究员 @Awakened 披露了关于WhatsApp（2.19.244之前版本）存在的RCE漏洞（CVE-2019-11932）利用的文章，该漏洞由Android-gif-Drawable开源库中double-free错误触发。

攻击者通过向WhatsApp用户发送一个精心制作的恶意GIF文件，就可以获得WhatsApp的应用权限，在手机端进行SD卡读取、音频录制、摄像头访问、文件系统访问、WhatsApp沙盒存储访问等操作。

在Facebook和该开源库的开发者合作下，目前已经顺利修复了该漏洞。

但事情似乎并没有那么简单，Android-gif-Drawable用于Android系统进行GIF图像解析的开源库，通过JNI捆绑Giflib的方式对帧数进行渲染，与WebView类和Movie类相比渲染效率较高，截至目前，在GitHub上得到的Star数已经超过7800。腾讯安全玄武实验室阿图因系统分析结果显示，该GIF开源库被大量安卓APP使用，全球范围内43619个使用该GIF开源库开发的安卓APP可能受此漏洞影响。

因此，double-free错误的存在影响的应该远远不止WhatsApp。凡使用该GIF开源库进行GIF图像解析的安卓应用（APP）都可能受此漏洞影响。攻击者通过向受影响的APP用户远程发送恶意GIF文件，可在目标设备的APP应用权限环境下执行任意代码（安卓8.0版本及以上）或导致应用拒绝服务（安卓8.0版本以下）。

TK教主也关注到了该漏洞，并在朋友圈表示，“基本每个互联网企业都有产品受影响，不过微信和QQ并没有用这个（GIF开源库）”。