新闻快讯
< >

MOSEC移动安全技术峰会精彩内容回顾

第三届MOSEC移动安全技术峰会于2017年6月23日在上海举办。来自全球的优秀互联网专家齐聚上海,带来移动安全领域技术的汇集和碰撞。今年的MOSEC沿承传统,继续专注于分享高质量安全技术,并始终集中在Android、iOS、Windows三大移动平台,努力做到分享的每一个议题都是移动安全领域最前沿的技术,这也是MOSEC赢得世界掌声的资本。

MOSEC移动安全技术峰会精彩内容回顾-E安全

MOSEC议题一览

百度安全实验室:Android应用签名的枷锁与革新
Luca Todesco:现代iOS系统溢出缓解机制
360UnicornTeam:天空之城 —— 飞控安全攻防剖析
Lookout:Pwning苹果手表
360AlphaTeam:伤痕累累的Android Wi-Fi驱动 — 从本地提权到远程攻击
Embedi:幻象之盒
腾讯科恩实验室:iOS 10内核安全漫谈

MOSEC议题回顾

Android应用签名的枷锁与革新

议题概要

MOSEC移动安全技术峰会精彩内容回顾-E安全

Android生态强烈地依赖应用签名;应用商店需要通过签名来验证版本更替、应用安装时需要校验签名防止篡改、安全厂商也常常需要通过签名来关联应用开发者。总之,Android应用签名私钥具有“不可遗失”、无法更换的特点。然而,近年来Android应用签名私钥泄漏或滥用的现象层出不穷,多家互联网公司都不能幸免,因此Android生态对签名证书的固守反而成来很大的安全威胁。此外,很多公司在多年以前采用来签名算法比较弱的证书,随着破解算法和计算资源的进步,升级证书也迫在眉睫。针对这一问题,本报告将横向比较Android/iOS/Mac/Windows等平台的签名、验签机制,并提出一种简单有效、且能兼容现有Android系统和应用商店的解决方案。这一方案将为Android生态一起联手打击黑产提供重要的基石。

现代iOS系统溢出缓解机制

议题概要

MOSEC移动安全技术峰会精彩内容回顾-E安全

来自意大利的天才少年Luca Todesco(@qwertyoruiopz)分享了议题《现代iOS系统溢出缓解机制》。苹果的缓解措施包罗万象,但sandbox,kpp,secure enclave,watchtower有各种绕过方法,在这当中更改TTBR1_EL1是一个核心方法,一次性写寄存器也是内核的一种重要缓解方法,IP6中写状态存放在内存中,通过RVBAR_E1可以直接修改,而IP7中则直接采用硬件来检测很多行为。他还介绍了很多arm64下ROP的技巧,以及MACH消息的回调对内核利用和浏览器利用的帮助,和不就将来CFI上了以后的绕过思路。可以说他不仅仅着眼已有的缓解措施绕过,也已经想到了很多未来缓解措施的绕过。并且从他自身看不到所谓的内核,浏览器等的安全研究界限,几乎每一个领域都研究的很通透,才能形成整体的绕过。

天空之城-飞控安全攻防剖析

议题概要

MOSEC移动安全技术峰会精彩内容回顾-E安全

张婉桥分享议题《天空之城—飞控安全攻防剖析》。民航飞机在行驶中,可能遭受到远程的攻击。TCAS用于在空中飞行时,飞机间确定彼此位置,伪造其信号,虽然可能造成飞机困扰,但也会暴露攻击者位置,因为20W的发射器才能保证地面干扰空中。盲降系统信号伪造,也可能导致落地时发生事故,飞行员需要切回手动控制才能避免。ACAS标识了飞机的发动机运行状态,采用MSK编码,同样易于遭受伪造干扰。而通过通话信号劫持,更是会让飞机的降落和起飞时出现意外。一旦上述攻击同时进行,除非是有经验的飞机员,不然灾难难免。之所以飞机仍然采用这些古老的通信方式,虽然没法避免遭受攻击,但也增加了生存可能。大脑可能自动滤波,得到AM信息,减少加密也是为了增加危机时候的信息。

Pwning苹果手表

议题概要

MOSEC移动安全技术峰会精彩内容回顾-E安全

Max(Lookout公司安全研究员)分享议题《Pwning苹果手表》。Apple Watch是32位系统,缓解措施虽然少一些,但需要在没有任何系统地址信息的情况下去pwn。第一步先要用信息泄露漏洞dump内核,用到的漏洞是CVE-2016-4655和CVE-2016-4680,利用UAF修改vtable指向崩溃地址中的LR,进一步可以利用崩溃信息泄露其他函数,如OSUnserialXXX函数地址,进而可以利用伪造的OSString对象dump内核。前期的泄露需要利用越狱的手机获取手表的日志,着实不易。一旦有了地址就可以按照一般的越狱思路,代码执行,patch代码签名,setuid函数拿到用户态root。手表的root可以获取的所有私有信息,录音,邮件,甚至连接过的手机信息。

伤痕累累的Android Wi-Fi驱动 – 从本地提权到远程攻击

议题概要

MOSEC移动安全技术峰会精彩内容回顾-E安全

来自360 Alpha Team的陈豪分享议题《伤痕累累的Android Wi-Fi驱动—从本地提权到远程攻击》。Wifi 驱动中除了之前被研究的很多的WEXT扩展部分的漏洞,还有CFG80211接口。用户态使用libnl库可以直接发送消息,会被这一层的代码响应。其响应函数,特别是Vendor相关的函数中,他们发现了20多个漏洞。此外,Wifi的SOC固件,也会出现问题。之前P0发也发表过从数据帧到内核代码执行的文章。SOC和内核之间也有event的通信机制,内核对event之前是完全信任,并没有考虑来自SOC的攻击。他们分析了博通和高通的SOC的架构,以及上层host driver的处理机制,并发现了一些问题。

幻象之盒

议题概要

MOSEC移动安全技术峰会精彩内容回顾-E安全

已经生活在IoT时代的我们,在享受物联网带来便利的同时,也意识到了物联网设备可能带来的安全隐患。摄像头、路由器等层出不穷的漏洞让我们感到惊恐,各个公司也纷纷开发出了相应的解决方案。

来自embedi公司的Peter分享议题《幻象之盒》。BitDefenderBox用于保护网络中连接的IOT设备的,他能够过滤恶意连接,扫描已知的漏洞。但其本身也有问题,通过dump固件分析,他拿到了ssh权限,逆向了web api逻辑,知道了BitDefenderBox是如何扫描漏洞的,以及绕过token验证的方法。最后他演示了一套完整的攻击路径。先通过Dlink路由器0day拿到路由器权限,利用BitDefenderBox漏洞取得ssh,绕过检测,然后利用内网的一个IP CAM的漏洞,取得内网IOT设备的远程shell。

iOS 10内核安全漫谈

议题概要

MOSEC移动安全技术峰会精彩内容回顾-E安全

陈良分享了议题《iOS 10内核安全漫谈》。议题介绍了近一年来的越狱工具,yalu,pangu的方法,苹果的缓解措施。特别介绍了IOAccelResouce2接口,类似IOSurface,但更接近显卡,并且他们在这当中发现了很多问题。之后介绍了一些苹果从机制上缓解漏洞的方法,比如IOConnectCallMethod中的inputstruct大于4096时候的mmap导致的race。以及P0利用Mach Port漏洞拿tfp0的方法,并且在IP7上也终于开启了arm64的smap。演讲结束时,他演示了ip6和7最近版本iOS的越狱展示,先绕过沙盒保护,在利用之外的内核漏洞绕过kpp和AMCC,最后安装了Cydia。

MOSEC的主办方

MOSEC的主办方为盘古实验室和POC。盘古是国内非常优秀的团队,也是国内首个自主实现苹果iOS完美越狱的团队,拥有多名资深安全研究人员,曾在主流操作系统和重要应用程序中发现数百个0day漏洞。其团队成员也经常在国内外知名安全会议上做精彩演讲,比如Black Hat、XCon 、CanSecWest、Syscan,、HITCon, PoC等。POC是韩国最大的安全技术峰会,今年已经是第十二届。它是互联网安全届举办历史最悠久的大会之一,目前已经成为国际知名的安全技术交流峰会。POC创立的初衷也是交流技术、分享知识,和盘古团队的想法不谋而合,所以也就早就了MOSEC这么优秀的技术峰会。