第三屆MOSEC移動安全技術(shù)峰會于2017年6月23日在上海舉辦。來自全球的優(yōu)秀互聯(lián)網(wǎng)專家齊聚上海,帶來移動安全領(lǐng)域技術(shù)的匯集和碰撞。今年的MOSEC,仍舊滿滿干貨,技術(shù)與趣味并存。讓我們一起回顧這滿是回憶的盛會吧,嘿喂夠!
MOSEC議題一覽
百度安全實驗室:Android應(yīng)用簽名的枷鎖與革新Luca Todesco:現(xiàn)代iOS系統(tǒng)溢出緩解機(jī)制360UnicornTeam:天空之城 —— 飛控安全攻防剖析Lookout:Pwning蘋果手表360AlphaTeam:傷痕累累的Android Wi-Fi驅(qū)動 — 從本地提權(quán)到遠(yuǎn)程攻擊Embedi:幻象之盒騰訊科恩實驗室:iOS 10內(nèi)核安全漫談
MOSEC議題巡展
Android應(yīng)用簽名的枷鎖與革新
議題概要
Android生態(tài)強(qiáng)烈地依賴應(yīng)用簽名;應(yīng)用商店需要通過簽名來驗證版本更替、應(yīng)用安裝時需要校驗簽名防止篡改、安全廠商也常常需要通過簽名來關(guān)聯(lián)應(yīng)用開發(fā)者。總之,Android應(yīng)用簽名私鑰具有“不可遺失”、無法更換的特點。然而,近年來Android應(yīng)用簽名私鑰泄漏或濫用的現(xiàn)象層出不窮,多家互聯(lián)網(wǎng)公司都不能幸免,因此Android生態(tài)對簽名證書的固守反而成來很大的安全威脅。此外,很多公司在多年以前采用來簽名算法比較弱的證書,隨著破解算法和計算資源的進(jìn)步,升級證書也迫在眉睫。針對這一問題,本報告將橫向比較Android/iOS/Mac/Windows等平臺的簽名、驗簽機(jī)制,并提出一種簡單有效、且能兼容現(xiàn)有Android系統(tǒng)和應(yīng)用商店的解決方案。這一方案將為Android生態(tài)一起聯(lián)手打擊黑產(chǎn)提供重要的基石。
現(xiàn)代iOS系統(tǒng)溢出緩解機(jī)制
議題概要
天才少年Luca(@qwertyoruiopz)分享了議題《現(xiàn)代iOS系統(tǒng)溢出緩解機(jī)制》。蘋果的緩解措施包羅萬象,但sandbox,kpp,secure enclave,watchtower有各種繞過方法,在這當(dāng)中更改TTBR1_EL1是一個核心方法,一次性寫寄存器也是內(nèi)核的一種重要緩解方法,IP6中寫狀態(tài)存放在內(nèi)存中,通過RVBAR_E1可以直接修改,而IP7中則直接采用硬件來檢測很多行為。他還介紹了很多arm64下ROP的技巧,以及MACH消息的回調(diào)對內(nèi)核利用和瀏覽器利用的幫助,和不就將來CFI上了以后的繞過思路。可以說他不僅僅著眼已有的緩解措施繞過,也已經(jīng)想到了很多未來緩解措施的繞過。并且從他自身看不到所謂的內(nèi)核,瀏覽器等的安全研究界限,幾乎每一個領(lǐng)域都研究的很通透,才能形成整體的繞過。
天空之城-飛控安全攻防剖析
議題概要
張婉橋分享議題《天空之城—飛控安全攻防剖析》。民航飛機(jī)在行駛中,可能遭受到遠(yuǎn)程的攻擊。TCAS用于在空中飛行時,飛機(jī)間確定彼此位置,偽造其信號,雖然可能造成飛機(jī)困擾,但也會暴露攻擊者位置,因為20W的發(fā)射器才能保證地面干擾空中。盲降系統(tǒng)信號偽造,也可能導(dǎo)致落地時發(fā)生事故,飛行員需要切回手動控制才能避免。ACAS標(biāo)識了飛機(jī)的發(fā)動機(jī)運行狀態(tài),采用MSK編碼,同樣易于遭受偽造干擾。而通過通話信號劫持,更是會讓飛機(jī)的降落和起飛時出現(xiàn)意外。一旦上述攻擊同時進(jìn)行,除非是有經(jīng)驗的飛機(jī)員,不然災(zāi)難難免。之所以飛機(jī)仍然采用這些古老的通信方式,雖然沒法避免遭受攻擊,但也增加了生存可能。大腦可能自動濾波,得到AM信息,減少加密也是為了增加危機(jī)時候的信息。
Pwning蘋果手表
議題概要
Max(Lookout公司安全研究員)分享議題《Pwning蘋果手表》。Apple Watch是32位系統(tǒng),緩解措施雖然少一些,但需要在沒有任何系統(tǒng)地址信息的情況下去pwn。第一步先要用信息泄露漏洞dump內(nèi)核,用到的漏洞是CVE-2016-4655和CVE-2016-4680,利用UAF修改vtable指向崩潰地址中的LR,進(jìn)一步可以利用崩潰信息泄露其他函數(shù),如OSUnserialXXX函數(shù)地址,進(jìn)而可以利用偽造的OSString對象dump內(nèi)核。前期的泄露需要利用越獄的手機(jī)獲取手表的日志,著實不易。一旦有了地址就可以按照一般的越獄思路,代碼執(zhí)行,patch代碼簽名,setuid函數(shù)拿到用戶態(tài)root。手表的root可以獲取的所有私有信息,錄音,郵件,甚至連接過的手機(jī)信息。
傷痕累累的Android Wi-Fi驅(qū)動 – 從本地提權(quán)到遠(yuǎn)程攻擊
議題概要
來自360 Alpha Team的陳豪分享議題《傷痕累累的Android Wi-Fi驅(qū)動—從本地提權(quán)到遠(yuǎn)程攻擊》。Wifi 驅(qū)動中除了之前被研究的很多的WEXT擴(kuò)展部分的漏洞,還有CFG80211接口。用戶態(tài)使用libnl庫可以直接發(fā)送消息,會被這一層的代碼響應(yīng)。其響應(yīng)函數(shù),特別是Vendor相關(guān)的函數(shù)中,他們發(fā)現(xiàn)了20多個漏洞。此外,Wifi的SOC固件,也會出現(xiàn)問題。之前P0發(fā)也發(fā)表過從數(shù)據(jù)幀到內(nèi)核代碼執(zhí)行的文章。SOC和內(nèi)核之間也有event的通信機(jī)制,內(nèi)核對event之前是完全信任,并沒有考慮來自SOC的攻擊。他們分析了博通和高通的SOC的架構(gòu),以及上層host driver的處理機(jī)制,并發(fā)現(xiàn)了一些問題。
幻象之盒
議題概要
來自embedi公司的Peter分享議題《幻象之盒》。BitDefenderBox用于保護(hù)網(wǎng)絡(luò)中連接的IOT設(shè)備的,他能夠過濾惡意連接,掃描已知的漏洞。但其本身也有問題,通過dump固件分析,他拿到了ssh權(quán)限,逆向了web api邏輯,知道了BitDefenderBox是如何掃描漏洞的,以及繞過token驗證的方法。最后他演示了一套完整的攻擊路徑。先通過Dlink路由器0day拿到路由器權(quán)限,利用BitDefenderBox漏洞取得ssh,繞過檢測,然后利用內(nèi)網(wǎng)的一個IP CAM的漏洞,取得內(nèi)網(wǎng)IOT設(shè)備的遠(yuǎn)程shell。
iOS 10內(nèi)核安全漫談
議題概要
陳良分享了議題《iOS 10內(nèi)核安全漫談》。議題介紹了近一年來的越獄工具,yalu,pangu的方法,蘋果的緩解措施。特別介紹了IOAccelResouce2接口,類似IOSurface,但更接近顯卡,并且他們在這當(dāng)中發(fā)現(xiàn)了很多問題。之后介紹了一些蘋果從機(jī)制上緩解漏洞的方法,比如IOConnectCallMethod中的inputstruct大于4096時候的mmap導(dǎo)致的race。以及P0利用Mach Port漏洞拿tfp0的方法,并且在IP7上也終于開啟了arm64的smap。演講結(jié)束時,他演示了ip6和7最近版本iOS的越獄展示,先繞過沙盒保護(hù),在利用之外的內(nèi)核漏洞繞過kpp和AMCC,最后安裝了Cydia。
來自:愛尖刀科技媒體,原貼地址:http://www.ijiandao.com/news/focus/61035.html
